实训6-2 Windows安全审计功能

1、实训6.2Windows安全审计功能本节实训与思考的目 的是：(1) 熟悉安全审计技术的基本概念和基本内容。(2) 通过深入了解和应用Windows操作系统的审计追踪功能，来加深理解安全审计技术，掌握Windows的安全审计功能。1 工具/准备工作在开始本实训之前，请认真阅读本课程的相关内容。需要准备一台运行Windows XP Professional操作系统的计算机。2 实训内容与步骤(1) 概念理解1) 请通过查阅有关资料，简单叙述什么是“安全审计”计算机安全审计是通过一定的策略，利用记录和分析历史操作事件来发现系统的漏洞并改进系统的性能和安全。2) 审计追踪的目的是什么？目的是发现违反

2、安全策略的活动、影响运行效率的问题以及程序中的错误。3) 审计系统的目标是什么？如何实现？安全审计提供的功能服务于直接和间接两个方面的安全目标：直接目标包括跟踪和监测系统中的异常事件；间接目标是监视系统中其他安全机制的运行情况和可信度。4) 审计的主要内容包括哪些？包括个人职能：审计跟踪是管理人员用来维护个人职能的手段；事件重建：在发生故障后，审计跟踪可以用于重建事件和数据恢复；入侵检测和故障分析。(2) Windows安全审计功能操作系统一般都提供审计功能。下面，我们以Windows XP Professional操作系统为例，来了解Windows的安全审计功能及其应用。1) 审计子系统结构

3、。在Windows系统中，几乎每一项事务都可以在一定程度上被审计。步骤1：在Windows“开始”菜单中单击“控制面板”命令，在“控制面板”窗口中双击“管理工具”图标，在“管理工具”窗口中进一步双击“本地安全策略”图标，打开“本地安全设置”窗口。在左边窗格中选择“本地策略”“审核策略”，系统管理员可以根据各种用户事件的成功和失败选择审计策略，如登录和退出、文件访问、权限非法和关闭系统等。如图6.1所示。图6.1 本地安全策略审核策略设置步骤2：Windows使用一种特殊的格式来存放它的日志文件，这种格式的文件可以被“事件查看器”所读取。在“控制面板”的“管理工具”窗口中双击“事件查看器”图标，

4、打开“事件查看器”窗口如图6.2所示。图6.2 事件查看器系统管理员可以使用事件查看器的筛选选项，根据一定条件 (包括类别、用户和消息类型等) 选择要查看的日志条目。Windows的日志文件主要是系统日志、应用程序日志和安全日志3个，它们是审计Windows系统的核心，Windows中所有可被审计的事件都存入了其中的一个日志。 系统日志。跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。 应用程序日志。跟踪应用程序关联的事件，例如应用程序产生的装载dll (动态链接库) 失败的信息将出现在日志中。 安全日志。跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。但

5、是，用于浏览审计日志的工具事件查看器只有有限的灵活性，对大型日志的浏览速度很慢。由于每个服务器和工作站都有自己的日志集。这些日志分散在Windows网络的成千上万个服务器上，没有复杂的自动操作工具和数据转储工具，管理和利用这些日志是非常困难的。2) 审计日志和记录格式。Windows的审计日志由一系列的事件记录组成。每一个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。事件记录头由以下内容组成： 类型。事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息，按重要性降序排列。在安全日志中，类型可能是成功审计或失败审计。 日期。事件的日期标识。 时间。事件的时间标识。 来源。

6、用来响应产生事件记录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动程序。 类别。触发事件类型，主要用在安全日志中指示该类事件的成功或失败审计已经被许可。 事件ID。事件类型的数字标识。在事件记录描述中，这个域通常被映射成一个文本标识 (事件名) 。 用户名。标识事件是由谁触发的：这个标识可以是初始用户ID、某个客户II或两者同时具有。 计算机名。事件所在的计算机名。当用户在整个企业范围内集中安全管理时，该信息大大简化了审计信息的回顾。请记录： 应用程序日志中的事件个数为：_个。应用程序日志文件所在的物理位置是：_ 安全性日志中的事件个数为：_个。安全性日志文件所在的物理位置是：_ 系

7、统日志中的事件个数为：_个。系统日志文件所在的物理位置是：_3) 事件日志管理特征。Windows为系统管理员管理操作系统事件日志机制提供了大量特征。在“事件查看器”窗口左边的窗格中右键单击“应用程序”、“安全性”和“系统”等项目，然后在快捷菜单单击“属性”命令，可打开“属性对话框”，如图6.3所示。系统管理员可以在其中限制日志的大小，规定当文件达到容量上限时如何去处理这些文件，例如停止系统直到事件日志被手工清除等。系统开始运行时，系统日志和应用事件日志也自动开始记录。当日志文件已满并且系统配置规定它们必须被手工清除时，日志停止。另外，安全事件日志必须由具有管理员权限的人启动。利用管理工具，可

8、以设置安全审计规则。要启用安全审计的功能，只需在规则菜单下选择审计，然后通过查看记录的安全事件日志中的安全性事件，即可以跟踪所选用户的操作。4) 安全日志的审计策略。安全日志由审计策略支配。审计策略可以通过配置审计策略对话框中的选项来建立。审计策略规定日志的事件类型并可以根据动作、用户和目标进一步具体化。安全事件记录包括动作的时间和日期、已执行的动作和执行响应的动作。成功和失败的动作都能在安全日志中产生条目。日志条目也记录企图执行被策略禁止的动作的活动；审计规则如下 (既可以审计成功的操作，又可以审计失败的操作) 。 登录及注销。登录及注销或连接到网络。图6.3 日志的属性设置 用户及组管理。

9、创建、更改或删除用户账号或组，重命名、禁止或启用用户号，设置和更改密码。 文件及对象访问。访问设置用于文件或目录审计的目录或文件的用户，向设置用于打印机审计的打印机发送打印作业的用户。 安全性规则更改。对用户权利、审计或委托关系规则的改动。 重新启动、关机及系统级事件。用户重新启动或关闭计算机，或者发生了一个影响系统安全性或安全日志的事件。 进程追踪。这些事件提供了关于事件的详细跟踪信息，如程序活动、某些形式句柄的复制、间接对象的访问和退出进程：对于“文件及对象访问”中的文件和目录的审计还需要在资源管理器中对要审计的目录或文件进行具体设置。 文件和目录审计。允许跟踪目录和文件的用法。对于一个具体的文件或目录，可以指定要审计的组、用户或操作。既可以审计成功的操作，又可以审计失败的操作。审计目录可以选择读、写、执行、删除、更改权限或者获得所有权等事件。审计文件也可以选择读、写、可执行、删除、更改权限、获得所有权等事件。5) 管理和维护审计。通常情况下，Windows不是将所有的事件都记录日志，而需要手动启动审计的功能。在启动Windows的审计功能时，需要仔细选择审计的内容。审计日志将产