文件服務(wù)器安全審核機(jī)制 文件服務(wù)器管理系統(tǒng)

windows 2000操作系統(tǒng)的安全機(jī)制有哪些

安全描述符、訪問控制列表、訪問令牌、訪問掩碼等

創(chuàng)新互聯(lián)公司服務(wù)項目包括博羅網(wǎng)站建設(shè)、博羅網(wǎng)站制作、博羅網(wǎng)頁制作以及博羅網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，博羅網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到博羅省份的部分城市，未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

初級安全篇

1.物理安全

服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。另外，機(jī)箱,鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無法使用電腦，鑰匙要放在另外的安全的地方。

2.停掉Guest 帳號

在計算機(jī)管理的用戶里面把guest帳號停用掉，任何時候都不允許guest帳號登陸系統(tǒng)。為了保險起見，最好給guest 加一個復(fù)雜的密碼，你可以打開記事本，在里面輸入一串包含特殊字符,數(shù)字，字母的長字符串，然后把它作為guest帳號的密碼拷進(jìn)去。

3．限制不必要的用戶數(shù)量

去掉所有的duplicate user 帳戶, 測試用帳戶, 共享帳號，普通部門帳號等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不在使用的帳戶。這些帳戶很多時候都是嘿客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，嘿客們得到合法用戶的權(quán)限可能性一般也就越大。國內(nèi)的nt/2000主機(jī)，如果系統(tǒng)帳戶超過10個，一般都能找出一兩個弱口令帳戶。我曾經(jīng)發(fā)現(xiàn)一臺主機(jī)197個帳戶中竟然有180個帳號都是弱口令帳戶。

4．創(chuàng)建2個管理員用帳號

雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規(guī)則的。 創(chuàng)建一個一般權(quán)限帳號用來收信以及處理一些*常事物，另一個擁有Administrators 權(quán)限的帳戶只在需要的時候使用?？梢宰尮芾韱T使用 “ RunAS” 命令來執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理。

5．把系統(tǒng)administrator帳號改名

大家都知道，windows 2000 的administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當(dāng)然，請不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone 。

6．創(chuàng)建一個陷阱帳號

什么是陷阱帳號? Look!創(chuàng)建一個名為” Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些 Scripts s忙上一段時間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?；蛘咴谒膌ogin scripts上面做點手腳。嘿嘿，夠損！

7.把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”

“everyone” 在win2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設(shè)置成”everyone”組。包括打印共享，默認(rèn)的屬性就是”everyone”組的，一定不要忘了改。

8.使用安全密碼

一個好的密碼對于一個網(wǎng)絡(luò)是非常重要的，但是它是最容易被忽略的。前面的所說的也許已經(jīng)可以說明這一點了。一些公司的管理員創(chuàng)建帳號的時候往往用公司名，計算機(jī)名，或者一些別的一猜就到的東西做用戶名，然后又把這些帳戶的密碼設(shè)置得N簡單，比如 “welcome” “iloveyou” “l(fā)etmein”或者和用戶名相同等等。這樣的帳戶應(yīng)該要求用戶首此登陸的時候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。前些天在IRC和人討論這一問題的時候，我們給好密碼下了個定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼文檔，必須花43天或者更長的時間才能破解出來，而你的密碼策略是42天必須改密碼。

9.設(shè)置屏幕保護(hù)密碼

很簡單也很有必要，設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序，浪費系統(tǒng)資源，讓他黑屏就可以了。還有一點，所有系統(tǒng)用戶所使用的機(jī)器也最好加上屏幕保護(hù)密碼。

10． 使用NTFS格式分區(qū)

把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT,FAT32的文件系統(tǒng)安全得多。這點不必多說，想必大家得服務(wù)器都已經(jīng)是NTFS的了。

11．運行防毒軟件

我見過的Win2000/Nt服務(wù)器從來沒有見到有安裝了防毒軟件的，其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。這樣的話，“嘿客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級病毒庫

12．保障備份盤的安全

一旦系統(tǒng)資料被破壞，備份盤將是你恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在安全的地方。千萬別把資料備份在同一臺服務(wù)器上，那樣的話，還不如不要備份。

中級安全篇：

1．利用win2000的安全配置工具來配置策略

微軟提供了一套的基于MMC(管理控制臺)安全配置和分析工具，利用他們你可以很方便的配置你的服務(wù)器以滿足你的要求。具體內(nèi)容請參考微軟主頁：

2．關(guān)閉不必要的服務(wù)

windows 2000 的 Terminal Services（終端服務(wù)），IIS ,和RAS都可能給你的系統(tǒng)帶來安全漏洞。為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著的，如果你的也開了，要確認(rèn)你已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運行。要留意服務(wù)器上面開啟的所有服務(wù)，中期性(每天)的檢查他們。下面是C2級別安裝的默認(rèn)服務(wù)：

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server Spooler

NTLM SSP Server

RPC Locator WINS

RPC service Workstation

Netlogon Event log

3．關(guān)閉不必要的端口

關(guān)閉端口意味著減少功能，在安全和功能上面需要你作一點決策。如果服務(wù)器安裝在防火墻的后面，冒的險就會少些，但是，永遠(yuǎn)不要認(rèn)為你可以高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，確定開放了哪些服務(wù)是嘿客入侵你的系統(tǒng)的第一步。\system32\drivers\etc\services 文件中有知名端口和服務(wù)的對照表可供參考。具體方法為：

網(wǎng)上鄰居屬性本地連接屬性internet 協(xié)議(tcp/ip)屬性高級選項tcp/ip篩選屬性 打開tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。

4．打開審核策略

開啟安全審核是win2000最基本的入侵檢測方法。當(dāng)有人嘗試對你的系統(tǒng)進(jìn)行某些方式（如嘗試用戶密碼,改變帳戶策略，未經(jīng)許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。很多的管理員在系統(tǒng)被入侵了幾個月都不知道，直到系統(tǒng)遭到破壞。下面的這些審核是必須開啟的，其他的可以根據(jù)需要增加：

策略 設(shè)置

審核系統(tǒng)登陸事件 成功，失敗

審核帳戶管理 成功，失敗

審核登陸事件 成功，失敗

審核對象訪問 成功

審核策略更改 成功，失敗

審核特權(quán)使用 成功，失敗

審核系統(tǒng)事件 成功，失敗

5.開啟密碼密碼策略

策略 設(shè)置

密碼復(fù)雜性要求 啟用

密碼長度最小值 6位

強(qiáng)制密碼歷史 5 次

強(qiáng)制密碼歷史 42 天

6．開啟帳戶策略

策略 設(shè)置

復(fù)位帳戶鎖定計數(shù)器 20分鐘

帳戶鎖定時間 20分鐘

帳戶鎖定閾值 3次

7．設(shè)定安全記錄的訪問權(quán)限

安全記錄在默認(rèn)情況下是沒有保護(hù)的，把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問。

8．把敏感文件存放在另外的文件服務(wù)器中

雖然現(xiàn)在服務(wù)器的硬盤容量都很大，但是你還是應(yīng)該考慮是否有必要把一些重要的用戶數(shù)據(jù)(文件，數(shù)據(jù)表，項目文件等)存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份它們。

9.不讓系統(tǒng)顯示上次登陸的用戶名

默認(rèn)情況下，終端服務(wù)接入服務(wù)器時，登陸對話框中會顯示上次登陸的帳戶明，本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進(jìn)而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名，具體是：

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

把 REG_SZ 的鍵值改成 1 .

10．禁止建立空連接

默認(rèn)情況下，任何用戶通過通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

10.到微軟網(wǎng)站下載最新的補(bǔ)丁程序

很多網(wǎng)絡(luò)管理員沒有訪問安全站點的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用。誰也不敢保證數(shù)百萬行以上代碼的2000不出一點安全漏洞，經(jīng)常訪問微軟和一些安全站點，下載最新的service pack和漏洞補(bǔ)丁，是保障服務(wù)器長久安全的唯一方法。

高級篇：

1. 關(guān)閉 DirectDraw

這是C2級安全標(biāo)準(zhǔn)對視頻卡和內(nèi)存的要求。關(guān)閉DirectDraw可能對一些需要用到DirectX的程序有影響（比如游戲，在服務(wù)器上玩星際爭霸？我暈..$%$^%^??），但是對于絕大多數(shù)的商業(yè)站點都應(yīng)該是沒有影響的。 修改注冊表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)為 0 即可。

2.關(guān)閉默認(rèn)共享

win2000安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，你可以在cmd下打 net share 查看他們。網(wǎng)上有很多關(guān)于IPC入侵的文章，相信大家一定對它不陌生。要禁止這些共享 ，打開 管理工具計算機(jī)管理共享文件夾共享 在相應(yīng)的共享文件夾上按右鍵，點停止共享即可，不過機(jī)器重新啟動后，這些共享又會重新開啟的。

默認(rèn)共享目錄 路徑和功能

C$ D$ E$ 每個分區(qū)的根目錄。Win2000 Pro版中，只有Administrator

和Backup Operators組成員才可連接，Win2000 Server版本

Server Operatros組也可以連接到這些共享目錄

ADMIN$ %SYSTEMROOT% 遠(yuǎn)程管理用的共享目錄。它的路徑永遠(yuǎn)都

指向Win2000的安裝路徑，比如 c:\winnt

FAX$ 在Win2000 Server中，F(xiàn)AX$在fax客戶端發(fā)傳真的時候會到。

IPC$ 空連接。IPC$共享提供了登錄到系統(tǒng)的能力。

NetLogon 這個共享在Windows 2000 服務(wù)器的Net Login 服務(wù)在處

理登陸域請求時用到

PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用戶遠(yuǎn)程管理打印機(jī)

解決辦法：

打開注冊表編輯器。REGEDIT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

在右邊建立一個名為AutoShareServer的DWORD鍵。值為0

3.禁止dump file的產(chǎn)生

dump文件在系統(tǒng)崩潰和藍(lán)屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而，它也能夠給嘿客提供一些敏感信息比如一些應(yīng)用程序的密碼等。要禁止它，打開 控制面板系統(tǒng)屬性高級啟動和故障恢復(fù) 把 寫入調(diào)試信息 改成無。要用的時候，可以再重新打開它。

4.使用文件加密系統(tǒng)EFS

Windows2000 強(qiáng)大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護(hù)。這樣可以防止別人把你的硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。記住要給文件夾也使用EFS,而不僅僅是單個的文件。 有關(guān)EFS的具體信息可以查看

5.加密temp文件夾

一些應(yīng)用程序在安裝和升級的時候，會把一些東西拷貝到temp文件夾，但是當(dāng)程序升級完畢或關(guān)閉的時候，它們并不會自己清除temp文件夾的內(nèi)容。所以，給temp文件夾加密可以給你的文件多一層保護(hù)。

6.鎖住注冊表

在windows2000中，只有administrators和Backup Operators才有從網(wǎng)絡(luò)上訪問注冊表的權(quán)限。如果你覺得還不夠的話，可以進(jìn)一步設(shè)定注冊表訪問權(quán)限，詳細(xì)信息請參考：

7.關(guān)機(jī)時清除掉頁面文件

頁面文件也就是調(diào)度文件，是win2000用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中，頁面文件中也可能含有另外一些敏感的資料。 要在關(guān)機(jī)的時候清楚頁面文件，可以編輯注冊表

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

把ClearPageFileAtShutdown的值設(shè)置成1。

8.禁止從軟盤和CD Rom啟動系統(tǒng)

一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機(jī)制。如果你的服務(wù)器對安全要求非常高，可以考慮使用可移動軟盤和光驅(qū)。把機(jī)箱鎖起來扔不失為一個好方法。

9.考慮使用智能卡來代替密碼

對于密碼，總是使安全管理員進(jìn)退兩難，容易受到 10phtcrack 等工具的攻擊，如果密碼太復(fù)雜，用戶把為了記住密碼，會把密碼到處亂寫。如果條件允許，用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。

10.考慮使用IPSec

正如其名字的含義，IPSec 提供 IP 數(shù)據(jù)包的安全性。IPSec 提供身份驗證、完整性和可選擇的機(jī)密性。發(fā)送方計算機(jī)在傳輸之前加密數(shù)據(jù)，而接收方計算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù)。利用IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng)。

Windows 7是否具有安全審計的功能

Win7對審計功能做了很大的優(yōu)化，簡化配置的同時，增加了對特定用戶和用戶組的管理措施，特殊人物可以特殊對待。

當(dāng)將某個文件夾設(shè)置為共享后，可以通過操作系統(tǒng)的訪問審核功能，讓系統(tǒng)記錄下訪問這個共享文件 的相關(guān)信息。這個功能在Windows7以前的操作系統(tǒng)版本中就可以實現(xiàn)。此時的安全審核在共享級。共享 時一個文件服務(wù)器的入口點，以便允許用戶訪問文件服務(wù)器上的特定目錄。注意，共享級別的安全審核 ，無法做到審計文件訪問，即文件級別的安全審核訪問。也就是說，現(xiàn)在只是針對一個單獨的文件需要 設(shè)置審計文件訪問，在FAT32等比較老的文件系統(tǒng)中無法實現(xiàn)，他們只能夠針對整個文件加設(shè)置訪問審計 ，而無法針對特定的文件。

一、在文件級別還是在共享級別設(shè)置安全審計

共享級別安全性只能夠在文件夾上設(shè)置安全審計，所以其靈活性相對差一點。而文件級別的安全 審計，可以在特定的服務(wù)器上、目錄或者文件上設(shè)置審計。故系統(tǒng)管理員的靈活性比較高，可以根據(jù)時 機(jī)需要，在合適的地方部署安全審計。如可以對NTFS分區(qū)進(jìn)行審計允許告知系統(tǒng)管理員誰在訪問或者試 圖訪問特定的目錄。在Windows網(wǎng)絡(luò)中， 對一些關(guān)鍵網(wǎng)絡(luò)資源的訪問進(jìn)行審計，是提高網(wǎng)絡(luò)安全與企業(yè) 數(shù)據(jù)安全的比較通用的手法，可以通過安全審計來確定是否有人正試圖訪問受限制的信息。

在哪 個級別上設(shè)置安全審計比較有利呢?這主要看用戶的需要。如在一個文件夾中，有數(shù)以百計的文件。而其 實比較機(jī)密的可能就是五、六個文件。此時如果在文件夾級別上實現(xiàn)安全訪問審計的話，那么在安全日 志中，其審核記錄會很多。此時查看起來反而會非常的不方便，有時候反而有用的記錄會被那些無用記 錄所遮擋掉。為此，如果一個文件夾中文件或者子文件夾比較多，而有審計要求的文件又在少數(shù)，此時 顯然在文件級別上(即對特定的幾個文件)設(shè)置“審計文件訪問”比較合適。如此可以減少系 統(tǒng)管理員后續(xù)維護(hù)的工作量。相反，在共享文件中，有一個特定的文件夾專門用來放置一些機(jī)密文件， 此時就是在文件夾級別上實現(xiàn)安全審計更加的合理?？梢娫谀膫€級別上來實現(xiàn)安全審計策略，并沒有一 個固定的標(biāo)準(zhǔn)。這主要看用戶需求來定的。如果一定要說出一個具體的參考標(biāo)準(zhǔn)，那么可以根據(jù)如下這 個準(zhǔn)則來選擇，即在哪個級別上所產(chǎn)生的審核記錄最少而且可以涵蓋用戶的安全需求，就在哪個級別上 設(shè)置安全訪問審計。簡單的說，就是同時滿足兩個條件。一是產(chǎn)生的審核記錄最少，便于閱讀;二是需要 滿足用戶安全方面的需求。往往則兩個條件是相互矛盾的，系統(tǒng)管理員需要在他們之間取得一個均衡。

二、該選用什么樣的安全審計策略?

在審計文件訪問策略中，可以根據(jù)需要選擇多種安全 審計策略，即可以告訴操作系統(tǒng)，在發(fā)生哪些操作時將訪問的信息記入到安全日志中，包括訪問人員、 訪問者的電腦、訪問時間、進(jìn)行了什么操作等等。如果將全部的訪問操作都記錄在日志中，那么日志的 容量會變得很大，反而不易于后許的維護(hù)與管理。為此系統(tǒng)管理員在設(shè)置審計文件訪問策略時，往往需 要選擇一些特定的事件，以減少安全訪問日志的容量。為了達(dá)到這個目的，下面的一些建議各位系統(tǒng)管 理員可以參考一下。

一是最少訪問操作原則。在Windows7種，將這個訪問操作分為很細(xì)，如修改 權(quán)限、更改所有者等等十多種訪問操作。雖然系統(tǒng)管理員需要花一定的時間去考慮該選擇哪些操作或者 進(jìn)行相關(guān)的設(shè)置，但是對于系統(tǒng)管理員來說這仍然是一個福音。權(quán)限細(xì)分意味著管理員選擇特定的訪問 操作之后，就可以得到最少的審核記錄。簡單的說，“產(chǎn)生的審核記錄最少而且可以涵蓋用戶的安 全需求”這個目標(biāo)更容易實現(xiàn)。因為在實際工作中，往往只需要對特定的操作進(jìn)行審計即可。如只 對用戶更改文件內(nèi)容或者訪問文件等少部分操作進(jìn)行審計即可。而不需要對全部操作進(jìn)行審計。如此產(chǎn) 生的審計記錄就會少的多，同時用戶的安全需求也得以實現(xiàn)。

二是失敗操作優(yōu)先選擇。對于任何 的操作，系統(tǒng)都分為成功與失敗兩種情況。在大部分情況下，為了收集用戶非法訪問的信息，只需要讓 系統(tǒng)記入失敗事件即可。如某個用戶，其只能夠只讀訪問某個共享文件。此時管理員就可以給這個文件 設(shè)置一個安全訪問策略。當(dāng)用戶嘗試更改這個文件時將這個信息記入下來。而對于其他的操作，如正常 訪問時則不會記錄相關(guān)的信息。這也可以大幅度的減少安全審計記錄。所以筆者建議，一般情況下只要 啟用失敗事件即可。在其不能夠滿足需求的情況下，才考慮同時啟用成功事件記錄。此時一些合法用戶 合法訪問文件的信息也會被記錄下來，此時需要注意的是，安全日志中的內(nèi)容可能會成倍的增加。在 Windows7操作系統(tǒng)中可以通過刷選的方式來過濾日志的內(nèi)容，如可以按“失敗事件”，讓系 統(tǒng)只列出那些失敗的記錄，以減少系統(tǒng)管理員的閱讀量。

三、如何利用蜜糖策略收集非法訪問者 的信息?

在實際工作中，系統(tǒng)管理員還可以采用一些“蜜糖策略”來收集非法訪問者 的信息。什么叫做蜜糖策略呢?其實就是在網(wǎng)絡(luò)上放點蜜糖，吸引一些想偷蜜的蜜蜂，并將他們的信息記 錄下來。如可以在網(wǎng)絡(luò)的共享文件上，設(shè)置一些看似比較重要的文件。然后在這些文件上設(shè)置審計訪問 策略。如此，就可以成功地收集那些不懷好意的非法入侵者。不過這守紀(jì)起來的信息，往往不能夠作為 證據(jù)使用。而只能夠作為一種訪問的措施。即系統(tǒng)管理員可以通過這種手段來判斷企業(yè)網(wǎng)絡(luò)中是否存在 著一些“不安分子”，老是試圖訪問一些未經(jīng)授權(quán)的文件，或者對某些文件進(jìn)行越權(quán)操作， 如惡意更改或者刪除文件等等。知己知彼，才能夠購百戰(zhàn)百勝。收集了這些信息之后，系統(tǒng)管理員才可 以采取對應(yīng)的措施。如加強(qiáng)對這個用戶的監(jiān)控，或者檢查一下這個用戶的主機(jī)是否已經(jīng)成為了別人的肉 雞等等?？傊到y(tǒng)管理員可以利用這種機(jī)制來成功識別內(nèi)部或者外部的非法訪問者，以防止他們做出更 加嚴(yán)重的破壞。

四、注意：文件替換并不會影響原有的審計訪問策略。

如上圖中，有一 個叫做捕獲的圖片文件，筆者為其設(shè)置了文件級別的安全審計訪問，沒有在其文件夾“新建文件夾 ”上設(shè)置任何的安全審計訪問策略。此時，筆者如果將某個相同的文件(文件名相同且沒有設(shè)置任 何的安全審計訪問策略)復(fù)制到這個文件夾中，把原先的文件覆蓋掉。注意此時將這個沒有設(shè)置任何的安 全審計訪問策略。文件復(fù)制過去之后，因為同名會將原先的文件覆蓋掉。但是，此時這個安全審計訪問 策略的話就轉(zhuǎn)移到新復(fù)制過去的那個文件上了。換句話說，現(xiàn)在新的文件有了原來覆蓋掉的那個文件的 安全審計訪問權(quán)限。這是一個很奇怪的現(xiàn)象，筆者也是在無意之中發(fā)現(xiàn)。不知道這是Windows7 操作系統(tǒng) 的一個漏洞呢，還是其故意這么設(shè)置的?這有待微軟操作系統(tǒng)的開發(fā)者來解釋了。

除了服務(wù)器系統(tǒng)之外，windows7系統(tǒng)的安全性也是非常值得信任的，也正因為它極高的安全防護(hù)受到了很多用戶的喜愛，擁有著一群廣泛的體驗用戶，究竟是怎樣的安全機(jī)制來保護(hù)著系統(tǒng)呢，讓我們?nèi)フJ(rèn)識一下windows7系統(tǒng)下強(qiáng)大的安全功能吧。

1、Kernel Patch：系統(tǒng)級的安全平臺的一個亮點就是kernel patch，它可以阻止對進(jìn)程列表等核心信息的惡意修改，這種安全保護(hù)這只有在操作系統(tǒng)能實現(xiàn)，其他殺毒軟件是無法實現(xiàn)的。

2、進(jìn)程權(quán)限控制：低級別的進(jìn)程不能修改高級別的進(jìn)程。

3、用戶權(quán)限控制UAC：將用戶從管理員權(quán)限級別移開，在缺省條件下用戶不再一直使用管理員權(quán)限，雖然UAC一直被爭議，在使用中筆者也常常感到繁瑣，但用戶權(quán)限控制確實是操作系統(tǒng)的發(fā)展趨勢，因為用戶一直使用管理員權(quán)限是非常危險的。

當(dāng)然，Win7還是有了很大的改善，在Vista下，UAC管理范圍很寬，很多應(yīng)用都碰到UAC提示。而在Win7里，減少了需要UAC提示的操作，強(qiáng)調(diào)安全的同時更加注重用戶體驗

4、審計功能：Win7對審計功能做了很大的優(yōu)化，簡化配置的同時，增加了對特定用戶和用戶組的管理措施，特殊人物可以特殊對待。

5、安全訪問：一臺機(jī)器上多個防火墻的配置。Win7里面可以同時配置存儲多個防火墻配置，隨著用戶位置的變換，自動切換到不同的防火墻配置里。

6、DNSSec支持：增強(qiáng)了域名解析協(xié)議標(biāo)準(zhǔn)，老的DNS是有風(fēng)險的，因此增加了對DNS增強(qiáng)版DNSSec的支持。

7、NAP網(wǎng)絡(luò)權(quán)限保護(hù)：這個是在VISTA中就引入的功能，里繼續(xù)繼承了?？梢詫﹄娔X進(jìn)行健康檢驗。

8、DirectAccess安全無縫的同公司網(wǎng)絡(luò)連接：遠(yuǎn)程用戶通過VPN難以訪問公司資源，IT面臨對遠(yuǎn)程機(jī)器管理的挑戰(zhàn)。win7系統(tǒng)的解決方案就是DirectAccess，提供了公司內(nèi)外對公司資源的一致性訪問體驗。提高遠(yuǎn)程用戶的效率。唯一的局限在于，只能在server2008系統(tǒng)中才能使用。

9、應(yīng)用程序控制AppLocker：禁止非授權(quán)的應(yīng)用程序在網(wǎng)絡(luò)運行。對應(yīng)用程序進(jìn)行標(biāo)準(zhǔn)化管理，通過Group Policy進(jìn)行管理。其中一個亮點是規(guī)則簡單，可以基于廠商的信任認(rèn)證，比如你把AAA公司設(shè)為黑名單，以后所有這個公司的軟件產(chǎn)品和程序，都會被拒絕。

10、數(shù)據(jù)保護(hù)BitLocker：保護(hù)筆記本丟失后數(shù)據(jù)安全問題，同時也支持對U盤的加密和保護(hù)，優(yōu)盤是病毒傳播的重要途徑之一，BitLocker可以對U盤進(jìn)行加密處理，防止別人對你的優(yōu)盤進(jìn)行數(shù)據(jù)寫入。這就阻隔的病毒侵入的風(fēng)險。

Windows7系統(tǒng)的安全性防護(hù)是用戶們有目共睹的，正因為有上述介紹的這些強(qiáng)大的安全功能做后盾，windows7系統(tǒng)的用戶才可以這么放松，這么沒煩惱地暢游網(wǎng)絡(luò)，放心使用系統(tǒng)。

操作系統(tǒng)中安全審核的內(nèi)容是什么？

windows操作系統(tǒng)的安全審核：

windows操作系統(tǒng)給我們提供了一項安全審核功能，通過這一功能我們可以知道我們的主機(jī)或服務(wù)器上發(fā)生的事情，安全審核可以用日志的形式記錄好幾種與安全相關(guān)的事件，我們可以使用其中的信息來生成一個有規(guī)律活動的概要文件，法相和跟蹤可疑事件，并留下關(guān)于某一侵入者活動的有效法律證據(jù)。

打開審核策略

Windows系統(tǒng)的默認(rèn)安裝沒有打開任何安全審核，所以需要進(jìn)入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應(yīng)的審核。系統(tǒng)提供了九類可以審核的事件，對于每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核

策略更改:安全策略更改，包括特權(quán)指派、審核策略修改和信任關(guān)系修改。這一類必須同時審核它的成功或失敗事件。

登錄事件:對本地計算機(jī)的交互式登錄或網(wǎng)絡(luò)連接。這一類必須同時審核它的成功和失敗事件。

對象訪問:必須啟用它以允許審核特定的對象，這一類需要審核它的失敗事件。

過程追蹤:詳細(xì)跟蹤進(jìn)程調(diào)用、重復(fù)進(jìn)程句柄和進(jìn)程終止，這一類可以根據(jù)需要選用。

目錄服務(wù)訪問:記錄對Active Directory的訪問，這一類需要審核它的失敗事件。

特權(quán)使用:某一特權(quán)的使用;專用特權(quán)的指派，這一類需要審核它的失敗事件。

系統(tǒng)事件:與安全(如系統(tǒng)關(guān)閉和重新啟動)有關(guān)的事件;影響安全日志的事件，這一類必須同時審核它的成功和失敗事件。

賬戶登錄事件:驗證(賬戶有效性)通過網(wǎng)絡(luò)對本地計算機(jī)的訪問，這一類必須同時審核它的成功和失敗事件。

賬戶管理:創(chuàng)建、修改或刪除用戶和組，進(jìn)行密碼更改，這一類必須同時審核它的成功和失敗事件。

打開以上的審核后，當(dāng)有人嘗試對你的系統(tǒng)進(jìn)行某些方式(如嘗試用戶密碼，改變賬戶策略，未經(jīng)許可的文件訪問等等)入侵的時候，都會被安全審核記錄下來，存放在“事件查看器”中的安全日志中。

另外在“本地安全策略”中還可開啟賬戶策略，如在賬戶鎖定策略中設(shè)定，賬戶鎖定閥值為三次(那么當(dāng)三次無效登錄將鎖定)，然后將賬戶鎖定時間設(shè)定為30分鐘，甚至更長。這樣，黑客想要攻擊你，一天24小時試密碼也試不了幾次，而且還要冒著被記錄追蹤的危險。

審核策略設(shè)置完成后，需要重新啟動計算機(jī)才能生效。這里需要說明的是，審核項目既不能太多，也不能太少。如果太少的話，你如果想查看黑客攻擊的跡象卻發(fā)現(xiàn)沒有記錄，那就沒辦法了，但是審核項目如果太多，不僅會占用大量的系統(tǒng)資源，而且你也可能根本沒空去全部看完那些安全日志，這樣就失去了審核的意義。

對文件和文件夾訪問的審核

對文件和文件夾訪問的審核，首先要求審核的文件或文件夾必須位于NTFS分區(qū)之上，其次必須如上所述打開對象訪問事件審核策略。符合以上條件，就可以對特定的文件或文件夾進(jìn)行審核，并且對哪些用戶或組指定哪些類型的訪問進(jìn)行審核。

在所選擇的文件或文件夾的屬性窗口的“安全”頁面上，點擊[高級]按鈕;在“審核”頁面上，點擊[添加]按鈕，選擇想對該文件或文件夾訪問進(jìn)行審核的用戶，單擊[確定];在“審核項目”對話框中，為想要審核的事件選擇“成功”或是“失敗”復(fù)選框(如圖2)，選擇完成后確定。返回到“訪問控制設(shè)置”對話框，默認(rèn)情況下，對父文件夾所做的審核更改將應(yīng)用于其所包含子文件夾和文件。如果不想將父文件夾所進(jìn)行的審核更改應(yīng)用到當(dāng)前所選擇的文件或文件夾，清空檢查框“允許將來自父系的可繼承審核項目傳播給該對象”即可(如圖3)。

審核結(jié)果的查看和維護(hù)

設(shè)置了審核策略和審核事件后，審核所產(chǎn)生的結(jié)果都被記錄到安全日志中，使用事件查看器可以查看安全日志的內(nèi)容或是在日志中查找指定事件的詳細(xì)信息。

在“管理工具”中運行“事件查看器”，選擇“安全日志”。在右側(cè)顯示日志列表，以及每一條目的摘要信息(如圖4)。如果你在幾個登錄的失敗審核后面又發(fā)現(xiàn)登錄的成功審核，那你就要仔細(xì)查看這些日志信息了，如果是密碼太簡單被人猜出，就需要增加密碼的長度和復(fù)雜性了。在這里可以查看各個事件的詳細(xì)信息，還可以查找和篩選符合條件的事件。

隨著審核事件的不斷增加，安全日志文件的大小也會不斷增加，默認(rèn)情況下日志文件的大小是512KB，當(dāng)達(dá)到最大日志尺寸時，系統(tǒng)會改寫7天以前的事件。其實我們可以根據(jù)需要進(jìn)行更改。用鼠標(biāo)右擊“事件查看器”的“安全日志”項，選擇“屬性”，進(jìn)入安全日志的屬性窗口(如圖5)，在“常規(guī)”標(biāo)簽頁面上，網(wǎng)管員可以根據(jù)自己實際需要修改系統(tǒng)的這些默認(rèn)設(shè)置，以滿足自己存儲安全日志的需要。

　在Windows系統(tǒng)中使用審核策略，雖然不能對用戶的訪問進(jìn)行控制，但是你根據(jù)打開審核產(chǎn)生的安全日志，可以了解系統(tǒng)在哪些方面存在安全隱患以及系統(tǒng)資源的使用情況，從而為我們追蹤黑客提供可靠依據(jù)，同時還有利于采取相應(yīng)的防范措施將系統(tǒng)的不安全因素降到最低限度，從而營造一個更加安全可靠的Windows系統(tǒng)平臺。

如有疑問，請追問，必復(fù)！

如滿意，請給我一個采納，謝謝！

網(wǎng)站欄目：文件服務(wù)器安全審核機(jī)制 文件服務(wù)器管理系統(tǒng)
文章位置：http://muchs.cn/article8/ddcgcop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動網(wǎng)站建設(shè)、定制開發(fā)、外貿(mào)建站、域名注冊、網(wǎng)站制作、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)