Windows Server 系統憑借其超強的系統功能較高的智能化程度以及更甚一籌的安全性能吸引了很多朋友創建條件前來嘗鮮試用在與Windows Server 系統親密接觸一段時間後我們發現平時不怎麼起眼的審核功能變得更加強大了巧妙借助該功能我們可以對服務器系統的一切操作進行跟蹤監視並能依照監視結果來快速排查服務器系統故障以及保障服務器系統的運行安全現在本文就對Windows Server 系統的審核功能進行挖掘以方便各位朋友利用該功能更好地服務自己
啟用配置審核功能
Windows Server 系統的審核功能在默認狀態下並沒有啟用我們必須針對特定系統事件來啟用配置它們的審核功能這樣一來該功能才會對相同類型的系統事件進行監視記錄網絡管理員日後只要打開對應系統的日志記錄就能查看到審核功能的監視結果了審核功能的應用范圍很廣泛不但可以對服務器系統中的一些操作行為進行跟蹤監視而且還能依照服務器系統的運行狀態對運行故障進行快速排除當然需要提醒各位朋友的是審核功能的啟用往往要消耗服務器系統的一些寶貴資源並會造成服務器系統的運行性能下降這是因為Windows Server 系統必須騰出一部分空間資源來保存審核功能的監視記錄結果為此在服務器系統空間資源有限的情況下我們應該謹慎使用審核功能確保該功能只對一些特別重要的操作進行監視記錄
在啟用配置Windows Server 系統的審核功能時我們可以先以系統超級權限登錄進入對應系統打開該系統桌面中的開始菜單從中依次點選設置控制面板命令在彈出的系統控制面板窗口中依次單擊系統和維護管理工具圖標在其後出現的管理工具列表窗口中找到本地安全策略圖標並用鼠標雙擊該圖標打開本地安全策略控制台窗口
其次在目標控制台窗口的左側顯示窗格中依次展開安全設置/本地策略/審核策略分支選項在對應審核策略分支選項的右側顯示窗格中我們會發現Windows Server 系統包含九項審核策略也就是說服務器系統可以允許對九大類操作進行跟蹤記錄如圖所示
圖 本地安全策略
審核進程跟蹤策略是專門用來對服務器系統的後台程序運行狀態進行跟蹤記錄的例如服務器系統後台突然運行或關閉了什麼程序handle句柄是否進行了文件復制或系統資源的訪問等操作審核功能都可以對它們進行跟蹤記錄並將監視記錄的內容自動保存到對應系統的日志文件中
審核帳戶管理策略是專門用來跟蹤監視服務器系統登錄賬號的修改刪除添加操作的任何添加用戶賬號操作刪除用戶賬號操作修改用戶賬號操作都會被審核功能自動記錄下來
審核特權使用策略是專門用來跟蹤監視用戶在服務器系統運行過程中執行除注銷操作登錄操作以外的其他特權操作的任何對服務器系統運行安全有影響的一些特權操作都會被審核功能記錄保存到系統的安全日志中網絡管理員根據日志內容就容易找到影響服務器運行安全的一些蛛絲馬跡
啟用不同的審核策略Windows Server 系統就會對不同類型的操作進行跟蹤記錄網絡管理員應該依照自己的安全要求以及服務器系統的性能配置來啟用適合自己的審核策略而不要盲目地啟用所有審核策略那樣一來審核功能的作用反而得不到充分發揮
圖 審核登陸事件屬性
比方說要是我們想對服務器系統的登錄狀態進行跟蹤監視以便確認局域網中是否存在非法登錄行為時那我們就可以直接用鼠標雙擊這裡的審核登錄事件策略打開對應策略的選項設置對話框(如圖所示)選中其中的成功和失敗選項再單擊確定按鈕如此一來Windows Server 系統日後就會自動對本地服務器系統的所有系統登錄操作進行跟蹤記錄無論是登錄服務器成功的操作還是登錄服務器失敗的操作我們都能通過事件查看器找到對應的操作記錄仔細分析這些登錄操作的記錄我們就能發現本地服務器中是否真的存在非法登錄甚至非法入侵行為
查看審核功能記錄
啟用配置好合適的審核策略後Windows Server 系統就會自動對特定類型的操作進行跟蹤記錄並將記錄內容保存到對應系統的日志文件中了以後網絡管理員可以根據日志內容尋找服務器系統中是否存在安全威脅在查看審核功能記錄下來的日志內容時我們必須借助事件查看器功能來完成下面就是查看審核功能記錄的具體操作步驟
首先以超級管理員權限進入Windows Server 系統依次單擊該系統桌面中的開始/程序/管理工具/服務器管理器命令打開對應系統的服務器管理器控制台窗口
其次在該控制台窗口的左側顯示區域中將鼠標定位於診斷分支選項並從該分支選項下面依次點選事件查看器/Windows日志子項在目標子項下面我們會看到應用程序安全安裝程序系統轉發事件這五個類別的事件記錄如圖所示
圖 服務器管理器
用鼠標選中某個類別選項時我們就能從圖界面的中間顯示區域中清楚地看到對應類別下的所有事件記錄再用鼠標雙擊指定的記錄選項時就能打開目標事件記錄的詳細信息界面在該界面中我們就可以詳細查看到目標事件的來源具體的事件內容事件ID以及其他相關信息等
發現重要的事件內容時我們還可以對其執行一些操作比方說為了日後有空時能對重要事件內容進行仔細分析我們可以將重要事件內容先保存起來以防止清理日志時被意外刪除掉在保存重要事件內容時我們只要用鼠標右鍵單擊目標事件內容從彈出的快捷菜單中執行將事件另存為命令之後設置好保存路徑以及具體的文件名稱再單擊保存按鈕就可以了日後只需要再執行右鍵菜單中的打開保存的日志命令就能將以前保存好的日志文件調用出來了要是發現服務器系統中保存的事件內容太多時我們應該定期執行右鍵菜單中的清除日志命令來清空日志記錄以便騰出更多的寶貴空間資源在日志記錄較多的情況下要想快速尋找自己想要的事件記錄是一件不容易的事情此時我們不妨執行篩選當前日志命令來對日志記錄進行篩選
實戰應用審核功能
審核功能在現實環境中對Windows Server 系統尤為重要因為服務器系統在局域網環境中很容易受到攻擊網絡管理員可以利用審核功能來對各種攻擊行為進行跟蹤監控遇到有潛在安全威脅的事件發生時我們可以想方設法地將審核功能監控到的事件內容通知給網絡管理員網絡管理員就能立即查明事件原因並對症下藥地解決問題從而保障服務器系統不受非法攻擊了
例如一些木馬程序常常會在服務器系統中偷偷創建用戶賬號以便竊取服務器系統的超級管理員權限此時我們可以通過用戶賬號監控來確定服務器系統中究竟是否存在非法用戶賬號然後進一步確定究竟是哪一個用戶賬號是非法賬號需要說明的是要想讓Windows Server 系統自動將非法賬號創建的事件通知給網絡管理員時必須確保對應系統的Task Scheduler服務處於正常的運行狀態
首先依次單擊Windows Server 系統桌面中的開始/運行命令在彈出的系統運行對話框中執行字符串命令secpolmsc打開服務器系統的本地安全策略控制台窗口
圖 審核帳戶管理
其次在該控制台窗口的左側顯示區域依次展開安全設置本地策略審核策略分支選項在對應審核策略分支選項的右側顯示區域中雙擊審核賬戶管理策略選項打開如圖所示的策略選項設置對話框選中成功和失敗選項再單擊確定按鈕關閉策略選項設置對話框這樣一來無論用戶賬戶創建成功還是創建失敗Windows Server 系統都會自動記錄下用戶賬號創建事件
為了把用戶賬號創建事件內容自動通知給網絡管理員我們還需要針對該事件附加執行自動報警的任務計劃在附加自動報警任務時我們先依次單擊Windows Server 系統桌面中的開始/程序/管理工具/服務器管理器命令打開對應系統的服務器管理器控制台窗口在該控制台窗口的左側區域依次點選診斷/事件查看器/Windows日志/系統子項再從系統子項下面找到創建用戶賬號事件如果找不到該事件內容時我們還需要采用手工方法隨意在服務器系統中創建一個用戶賬號這樣一來用戶賬號創建事件就會出現在事件查看器中了
用鼠標右鍵單擊用戶賬號創建事件從彈出的快捷菜單中執行將任務附加到此事件命令打開任務計劃添加向導對話框之後設置好新任務的名稱例如這裡我們將新任務取名為自動報警用戶賬號創建情況當屏幕上出現如圖所示的設置對話框時選中顯示消息選項再設置好需要報警的標題與內容在這裡我們將標題設置為自動報警用戶賬號創建情況將報警內容設置為服務器系統中可能有非法賬號被創建請網絡管理員立即處理相關事件!最後單擊完成按鈕這樣一來Windows Server 系統日後就能把審核功能記錄下來的用戶賬號創建情況自動報告給網絡管理員了
圖 創建基本任務向導
當我們嘗試通過遠程桌面方式在服務器系統中隨意創建一個用戶賬號時Windows Server 系統屏幕上立即出現了一個自動報警提示窗口告訴網絡管理員說服務器系統中可能有非法賬號被創建請網絡管理員立即處理相關事件!這就意味著此時有人在服務器系統中偷偷創建用戶賬號了網絡管理員根據這個自動報警提示信息就能在第一時間采取措施來解決相關問題從而保障Windows Server 服務器系統不受非法攻擊了
From:http://tw.wingwit.com/Article/os/xtgl/201311/9324.html
