“审核功能就像Windows的晴雨表,据此我们可以了解计算机的一举一动,并且可以根据这些信息来维护计算机系统的安全以及进行故障点排除 。在Vista中,“审核功能比以往更加强大,本文将和大家一起探讨其在Vista下的应用 。
1、启用审核的策略
所谓的审核就是跟踪,启用相应的审核功能后系统就会跟踪并记录事件的过程,方便管理员查看 。利用审核功能,我们不仅可以监视用户在计算机上进行的操作,还可以根据系统运行状态对故障进行排除 。但是,开启了审核就会降低系统的性能,因为系统为此需要耗费一部分资源用于记录和存储事件 。因此,我们在启用审核时要根据需要制订审核策略 。
作为管理员需要明确以下几个方面:需要对哪些内容进行审核;是否合理设置了审核策略;哪些用户有权访问日志;由谁了负责收集和归档日志;日志备份的相关工作如何进行;日志丢失后如何处理;日志保存和审查的周期;审查日志需要用到的工具和措施;在日志中发现安全问题后如何处理等 。只有这样才能在审核好系统性能之间取得一个平衡 。
2、配置审核策略
审核是对具体事件的过程进行监视和记录,因此会将结果保存到系统的事件日志中 。当然,除非开启了相应的审核功能,否则Windows Vista不会记录安全日志 。开启审核功能的方法是:依次单击“开始→“控制面板→“系统和维护→“管理工具,打开“本地安全策略控制台 。然后在“本地策略→“审核策略中找到相应的审核策略 。
在Vista中可启用的审核策略有9项之多,比如“审核特权使用,用来记录用户在系统操作过程中行使除登录、注销和网络之外的权限 。“审核帐户管理,记录用户帐户的创建、删除、更改等事件 。“审核进程跟踪,跟踪并记录进程的后台运行,例如程序的激活,handle句柄的复制和对文件管理资源的访问等 。启用各种审核策略的方法类似,至于启用什么样的审核策略,要根据自己安全需要进行选择 。(图1)
【Vista系统下Windows审核功能应用】
例如要审核登录事件,只需双击打开该策略,然后勾选审核包括事件的成功和失败,最后单击“定即可 。这样Windows Vista就可以开始审核本地所有用户帐户的登录事件,包括用户成功登录和登录失败,这样有利用发现系统是否被非法登录并被入侵 。(图2)
3、查看审核报告
在启用了审核策略后,系统就会在系统的日志中记录相关的事件 。如果要查看日志,就需要通过“事件查看器来进行查看,依次单击“开始→“控制面板→“系统和维护→“管理工具,打开“事件查看器控制台,在“Windows 日志下分别有“应用程序、“安全、“安装程序、“系统、“转发事件等多个类别,单击不同类别可以在中间的窗格中查看到所有该类别的事件记录 。双击某个事件记录,可以打开该记录的详细信息窗口,用户便可以了解该事件的来源和发生事件、事件ID等 。
右击某一类的事件日志,可以对其日志进行一些操作 。例如,我们可以选择“将事件另存为来导出该类别的事件日志;选择“打开保存的日志,用于导入已存在的事件日志;如果日志记录太多,为了释放更多的空间,我们可以选择“清除日志选项来清除所有记录;而管理员需要在众多的记录中找到自己所需的信息,可以借助“筛选当前日志功能,根据事件级别、事件ID、关键字、用户等信息进行筛选 。(图3)
4、监控文件访问
文件监控在现实环境中非常实用,比如管理员设置了一个共享文件夹,但被人改得面目全非,我们就可以通过文件夹监控来确定到底是哪些用户对文件夹进行了操作,然后进一步确定是哪个用户做的 。需要说明的是,文件或者文件夹的监控是基于NTFS文件系统,所以分区格式必须是这种格式 。
推荐阅读
- 解决Vista无法显示隐藏文件夹问题
- 用“审核”来监控Vista的一举一动
- vista 更新后没有声音
- win8系统 uac怎么关闭及不影响Metro应用的方法介绍
- Vista SP2首张截图曝光 部分细节披露
- Vista系统下虚拟机的安装全过程
- vista下删除xp
- Win8系统下安装杀毒软件失败的原因和解决方法详情
- 如何在Vista下去防范ARP欺骗
- Windows Vista SP2测试版安装全程截图