在大型网络管理中,因为事件查看器中的安全日志在默认状态下不记录任何事件,要提高网络的安全性就必须设置系统资源审核,以便时间监视器可以将网络管理员所关心的资源的使用情况记录到安全日志中,然后通过安全日志中记录下来的审核事件的信息(已执行的动作,执行该动作的用户,事件是成功还是失败以及事件发生的时间等),分析网络的安全性,并做出相应的策略。本地安全审核功能可以用日志的形式记录好几种与安全相关的事件,也可以使用其中的信息来生成一个有规律活动的概要文件,发现和跟踪可疑事件,并留下关于
在大型网络管理中,因为事件查看器中的安全日志在默认状态下不记录任何事件,要提高网络的安全性就必须设置系统资源审核,以便时间监视器可以将网络管理员所关心的资源的使用情况记录到安全日志中,然后通过安全日志中记录下来的审核事件的信息(已执行的动作,执行该动作的用户,事件是成功还是失败以及事件发生的时间等),分析网络的安全性,并做出相应的策略。本地安全审核功能可以用日志的形式记录好几种与安全相关的事件,也可以使用其中的信息来生成一个有规律活动的概要文件,发现和跟踪可疑事件,并留下关于某一侵入者活动的有效法律证据。审核分为两种类型,一种审核是与操作系统本身安全性相关的各种事件的审核,这-类的审核必须在组策略的审核策略中设置:另外一种就是对于网络中资源的审核,这类审核将允许用户了解资源的使用情况。
设置资源审核会加大系统的负担,因此尽量只对必要的操作和资源设置审核。并且只能在NTFS分区上设置资源审核,FAT分区不支持审核。为资源设置审核时只需要在要审核的对象上鼠标右键单击,选择“属性”中的“安全”选项卡即可进行相应的设置。
(1) 审核策略的设置
在“开始”菜单上选择“程序”一“管理工具”一“本地安全策略”。如果在“开始”菜单中找不到“管理工具”程序组,则进入“控制面板”,打开“管理工具”程序组,选择“本地安全策略”。(如果在“开始”菜单的设置中没有选择“显示管理工具”。则“管理工具”不会出现在“开始”菜单中) ;
在“本地安全策略”窗口的控制台目录树中,单击“本地策略”,然后选择“审核策略”;选中要审核的事件,在操作菜单中选择“安全性”,或是双击所选择的审核事件;在策略设置窗口中,选择“成功”复选框或“失败”复选框,或是将二者全部选中。请藏镇干所食环市核策略设置完成后, 需要重新启动计算机才能生效。
(2) 对文件和文件夹访问的审核
对文件和文件夹访问的审核,首先要求审核的对象必须位于NTFS分区之上,其次必须为对象访问事件设置审核策略。符合以上条件,就可以对特定的文件或文件夹进行审核,并且对哪些用户或组指定哪些类型的访问进行审核。设置的步骤如下:
◆在所选择的文件或文件夹的属性窗口的“安全”页面上,点击“高级”按钮;
◆在“审核”页面上,点击“添加”按钮,选择想对文件或文件夹访问进行审核的用户,单击“确定”;
◆在“审核项目"对话框中,为想要审核的事件选择“成功”或是“失败”复选框,选择完成后确定;
◆返回到“访问控制设置”对话框。默认情况下,对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹,清空检查框“允许将来自父系的可继承审核项目传播给该对象”即可。
(3)对打印机访问的审核。
对打印机访问进行审核,要求必须为对象访问事件设置审核策略。满足这个条件就能够对特定的打印机进行审核,并能够审核指定的访问类型以及审核拥有访问权限的用户。审核步骤如下:
在选择的打印机的属性窗口,选择“安全”页面,点击“高级”按钮。在“审核”页面,点击“添加”按钮,选择想对打印机访问进行审核的用户或组,点击“确定”
在项目审核窗口中,在“应用到”下拉列表中选择审核应用的目标在“访问”列表中为审核的事件选择“成功”或“失败”检查框。
(4)审核结果的查看和维护
设置了审核策略和审核事件后,审核所产生的结果都被记录到安全日志中,安全日志记录了审核策略监控的事件成功或失败执行的信息。使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。
可能您还想看