|
|
概要
本指南分步介绍了如何启用和应用 Windows 安全审核。
启用 Windows 安全审核
对于您来说,很重要的一点是保护您的信息和服务资源不会被不应访问的人访问,同时还要使这些资源能够被授权的用户访问。本文介绍如何使用 Windows 2000 安全功能审核对资源的访问。
您可以配置安全日志以记录有关目录和文件访问或者服务器事件的信息。可以使用 Microsoft 管理控制台 (MMC) 中的“审核策略”设置此审核级别。这些事件都记录在“Windows 安全日志”中。“安全日志”可以记录安全事件,如有效和无效的登录尝试以及与资源使用相关的事件(如创建、打开或者删除文件)。必须以管理员身份登录才能控制要审核哪些事件,以及在“安全日志”中显示哪些事件。
重要说明:在 Windows 2000 能够审核对文件和文件夹的访问之前,您必须使用“组策略”管理单元在“审核策略”中启用“审核对象访问”设置。如果不启用,当设置文件和文件夹的审核时,就会收到错误消息,并且不会审核任何文件或文件夹。在“组策略”中启用审核之后,在“事件查看器”中查看安全日志,了解对审核文件和文件夹有哪些成功或者失败的访问尝试。
要启用本地 Windows 安全审核,请按照下列步骤操作:
1. 以具有管理员权限的帐户登录到 Windows 2000。如果您想授权其他用户设置审核,请参阅本文“参考”部分的“如何使另一个帐户能够配置审核”。
2. 确保已经安装“组策略”管理单元,如果未安装,请按照本文“参考”部分的“如何安装组策略管理单元”中的说明进行安装。
3. 单击开始,指向设置,然后单击控制面板。
4. 双击管理工具。
5. 双击本地安全策略,启动“本地安全设置”MMC 管理单元。
6. 双击本地策略将其展开,然后双击审核策略。
7. 在右窗格中,双击要启用或禁用的策略。
8. 对于登录和注销单击“成功(成功的已审核安全访问尝试)”或“失败(失败的已审核安全访问尝试)”复选框。例如,通过此设置,用户成功登录系统将记录为“成功”审核事件。如果用户尝试访问网络驱动器失败,则这次尝试将记录为“失败”审核事件。
9. 如果您正在为运行 Microsoft Internet 信息服务 (IIS) 5.0 版的 Web 服务器设置审核,请参见本文“参考”部分的“Windows 2000 IIS 5.0 Web 服务器审核推荐设置”一节,以查看推荐的审核列表。
注意:如果您是域成员并且已定义域级策略,则域级设置将替代本地策略设置。
如果启用了 Active Directory,管理员可以监视对 Active Directory 的访问,这会将成功的和“失败”的审核尝试记录到“目录服务”事件日志中。此事件日志只会在 Windows 2000 域控制器上出现。
要启用 Active Directory 审核,请按照下列步骤操作:
1. 以具有管理员权限的帐户登录到 Windows 2000,如果您想授权其他用户设置审核,请参阅下面的参考部分。
2. 确保安装了“组策略”管理单元,如果没有,请按照下面部分列出的说明进行安装。
3. 单击开始,指向程序,然后指向管理工具,以启动“Active Directory 用户和计算机”管理单元。
4. 在查看菜单上,单击高级功能。
5. 右键单击域控制器容器,然后单击属性。
6. 单击组策略选项卡。
7. 单击默认域控制器策略,然后单击编辑。
8. 双击下列项目以打开它们:计算机配置、Windows 设置、安全设置、本地策略、审核策略。
9. 在右窗格中,打开审核目录服务访问。
10. 单击相应的选项:审核成功的尝试和(或)审核失败的尝试。
11. 如果您正在为 IIS 5.0 Web 服务器设置审核,请参见本文“参考”部分的“Windows 2000 IIS 5.0 Web 服务器审核推荐设置”一节,以查看推荐的审核列表。
注意:在 Windows 2000 中,域控制器每五分钟轮询一次策略更改。企业中的其他域控制器会在这段时间间隔加上复制的时间内收到这些更改。
注意:如果审核项对话框中访问下的复选框是灰色的,或者访问控制设置对话框中的删除按钮不可用,则表明已从父文件夹继承了审核。因为“安全”日志有大小限制,所以请仔细选择要审核的文件和文件夹。还要考虑用于“安全”日志的磁盘空间大小。最大大小是在“事件查看器”中定义的。
审核 Windows 2000 Server 中的事件
设置、查看、更改或者删除 Windows 文件或文件夹审核
设置审核以检测和记录与安全相关的事件,例如用户尝试访问机密文件或文件夹。在审核一个对象时,只要该对象以某种方式被访问,就会向 Windows 2000 安全日志中写入一个条目。您需要确定要审核哪些对象、哪些操作以及要审核的操作的确切类型。设置完审核之后,您可以跟踪访问某些对象的用户并分析安全违背情况。审核记录可以显示哪些人执行了什么操作,哪些人尝试执行了不被允许的操作。
要设置审核,请按照下列步骤操作:
1. 启动 Windows 资源管理器(单击开始,依次指向程序、附件,然后单击 Windows 资源管理器),然后找到要审核的文件或文件夹。
2. 右键单击该文件或文件夹,单击属性,然后单击安全选项卡。
3. 单击高级,然后单击审核选项卡。
4. 执行以下某个适用的操作:
a. 要为新组或用户设置审核,请按照下列步骤操作:
1. 单击添加。在名称框中,键入要审核的用户的名称。
2. 单击确定以自动打开审核项对话框。
b. 要查看或更改对现有组或用户的审核,请单击该名称,然后单击查看/编辑。
c. 要删除对现有组或用户的审核,请单击该名称,然后单击删除。
5. 根据要审核的访问类型,在访问下,单击成功、失败或成功 和失败。
6. 如果要防止树中的文件和子文件夹继承这些审核项,请单击以选中“应用这些审核项”复选框。
审核以检测未授权的访问
您可以在 Windows 安全日志中检测未授权的访问尝试,这些尝试能够以警告或错误日志项的形式出现。您还可以将这些日志存档以便日后使用。
要通过查看“Windows 安全日志”检测有可能发生的安全问题,请按照下列步骤操作:
1. 单击开始,指向设置,然后单击控制面板。
2. 双击管理工具,然后双击计算机管理。
3. 展开系统工具,然后展开事件查看器。
4. 单击安全日志。
注意:如果您不能查看这些安全日志,则说明您所使用的用户帐户没有相应的权限。出现这个问题是因为域级别的安全策略会覆盖本地计算机级别的安全策略,即,您可以以本地计算机管理员的身份登录,但无权访问计算机的安全日志。要获得这些权限,请咨询您的网络管理员。有关安全策略的更多信息,请参阅 Windows 文档。
5. 检查日志以发现可疑的安全事件,其中包括以下事件:
• 无效登录尝试。
• 特权的不成功使用。
• 访问和修改 .bat 或 .cmd 文件的不成功尝试。
• 修改安全权限或审核日志的尝试。
• 关闭服务器的尝试。
使用 Windows 安全日志
如何存档 Windows 安全日志
要存档 Windows 安全日志,请按照下列步骤操作:
1. 单击开始,指向设置,然后单击控制面板。
2. 双击管理工具,然后双击计算机管理。
3. 展开系统工具,然后展开事件查看器。
4. 单击安全性。
5. 在操作菜单上,单击另存日志文件。
6. 在另存为对话框中,单击要将该文件保存到的目录,然后为该文件键入一个名称。
注意:安全日志可以保存为事件文件 (.evt)、文本文件 (.txt) 或逗号分隔文件 (.csv)。
如何打开存档的 Windows 安全日志
要打开存档的 Windows 安全日志,请按照下列步骤操作:
1. 单击开始,指向设置,然后单击控制面板。
2. 双击管理工具,然后双击计算机管理。
3. 展开系统工具,然后展开事件查看器。
4. 在日志菜单上,单击安全性。
5. 在操作菜单上,指向打开日志文件。
6. 在打开对话框中,可以单击以前保存的日志,也可以改为“查找范围”列表中的位置并通过浏览找到相应文件。
7. 在“日志类型”列表中,单击安全性。
8. 单击确定以便在查看器中打开该文件。
疑难解答
因为“安全”日志有大小限制,所以请仔细选择要审核的文件和文件夹。还要考虑用于“安全”日志的磁盘空间大小。最大大小是在“事件查看器”中定义的。
重要说明:在 Windows 2000 能够审核对文件和文件夹的访问之前,您必须使用“组策略”管理单元在“审核策略”中启用“审核对象访问”设置。如果不启用,当设置文件和文件夹的审核时,就会收到错误消息,并且不会审核任何文件或文件夹。在“组策略”中启用审核之后,在“事件查看器”中查看安全日志,了解对审核文件和文件夹有哪些成功或者失败的访问尝试。
如何安装组策略管理单元
要使用本文描述的审核功能,您需要安装“组策略”管理单元。此管理单元不包括在“计算机管理”控制台中,您需要为“组策略”管理单元创建新的控制台。有关添加 MMC 管理单元的更多信息,请参阅 Windows 2000 文档。
要新建 MMC 控制台和添加“组策略”管理单元,请按照下列步骤操作:
1. 单击开始,然后单击运行。在运行对话框中,键入 mmc 以启动一个新的 MMC 控制台。
2. 在控制台菜单上,单击添加/删除管理单元。
3. 在添加/删除管理单元对话框中,单击添加。
4. 在添加独立管理单元对话框中,在提供的管理单元列表中单击组策略。单击添加。
5. 在选择组策略对象对话框中,单击完成以审核本地计算机,或者单击浏览以查找要审核的计算机。
6. 如果单击了浏览,则继续执行步骤 7;如果单击了完成,则转到步骤 9。
7. 在“浏览组策略对象”对话框中,单击计算机选项卡,单击其他计算机,通过浏览找到要审核的计算机,然后单击确定。
8. 在选择组策略对象对话框中,单击完成。
9. 关闭添加独立管理单元对话框。
10. 单击确定。
11. 在控制台菜单中,选择保存以便将新的控制台保存到硬盘上。这是您将用来配置审核功能的控制台。
如何使另一个帐户能够配置审核
在默认情况下,只有管理员组的成员才有权配置审核。您可以通过在“组策略”中授予“管理审核和安全日志”权限,将配置审核服务器事件的任务委派给另一个用户帐户。
要使该帐户能够配置审核,请按照下列步骤操作:
1. 在所创建的组策略控制台中,按照以下顺序展开下面的菜单:
a. 计算机配置
b. Windows 设置
c. 安全设置
d. 本地策略
e. 用户权限分配
2. 单击“管理审核和安全日志”,单击操作,然后单击安全。
3. 在“管理审核和安全日志”对话框中,单击添加。
注意:如果添加按钮不可用(显示为灰色),请单击以清除“从本地策略中排除”复选框,以便激活添加按钮。
4. 单击列表中适当的用户或用户组,然后单击添加。单击确定。
Windows 2000 IIS 5.0 Web 服务器审核推荐设置
对于运行 IIS 5.0 的基于 Windows 2000 Server 的计算机,应使用下面的 Windows 事件进行审核。“审核成功尝试”表明您对成功的事件感兴趣,“审核失败尝试”表明您对执行失败的事件感兴趣。“开”表示该事件要审核,“关”表示该事件不审核。
下面针对基于 Windows 2000 的计算机(作为 IIS Web 服务器)上的各种事件列出了相应的审核建议:
• 帐户登录
审核成功尝试:开
审核失败尝试:开
• 帐户管理
审核成功尝试:关
审核失败尝试:开
• 目录服务访问
审核成功尝试:关
审核失败尝试:开
• 登录
审核成功尝试:开
审核失败尝试:开
• 对象访问
审核成功尝试:关
审核失败尝试:关
• 策略更改
审核成功尝试:开
审核失败尝试:开
• 特权使用
审核成功尝试:关
审核失败尝试:开
• 过程追踪
审核成功尝试:关
审核失败尝试:关
• 系统
审核成功尝试:关
审核失败尝试:关
这篇文章中的信息适用于:
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Professional Edition
关键字: kbhowto kbhowtomaster kbperformance KB300549
本指南分步介绍了如何启用和应用 Windows 安全审核。
启用 Windows 安全审核
对于您来说,很重要的一点是保护您的信息和服务资源不会被不应访问的人访问,同时还要使这些资源能够被授权的用户访问。本文介绍如何使用 Windows 2000 安全功能审核对资源的访问。
您可以配置安全日志以记录有关目录和文件访问或者服务器事件的信息。可以使用 Microsoft 管理控制台 (MMC) 中的“审核策略”设置此审核级别。这些事件都记录在“Windows 安全日志”中。“安全日志”可以记录安全事件,如有效和无效的登录尝试以及与资源使用相关的事件(如创建、打开或者删除文件)。必须以管理员身份登录才能控制要审核哪些事件,以及在“安全日志”中显示哪些事件。
重要说明:在 Windows 2000 能够审核对文件和文件夹的访问之前,您必须使用“组策略”管理单元在“审核策略”中启用“审核对象访问”设置。如果不启用,当设置文件和文件夹的审核时,就会收到错误消息,并且不会审核任何文件或文件夹。在“组策略”中启用审核之后,在“事件查看器”中查看安全日志,了解对审核文件和文件夹有哪些成功或者失败的访问尝试。
要启用本地 Windows 安全审核,请按照下列步骤操作:
1. 以具有管理员权限的帐户登录到 Windows 2000。如果您想授权其他用户设置审核,请参阅本文“参考”部分的“如何使另一个帐户能够配置审核”。
2. 确保已经安装“组策略”管理单元,如果未安装,请按照本文“参考”部分的“如何安装组策略管理单元”中的说明进行安装。
3. 单击开始,指向设置,然后单击控制面板。
4. 双击管理工具。
5. 双击本地安全策略,启动“本地安全设置”MMC 管理单元。
6. 双击本地策略将其展开,然后双击审核策略。
7. 在右窗格中,双击要启用或禁用的策略。
8. 对于登录和注销单击“成功(成功的已审核安全访问尝试)”或“失败(失败的已审核安全访问尝试)”复选框。例如,通过此设置,用户成功登录系统将记录为“成功”审核事件。如果用户尝试访问网络驱动器失败,则这次尝试将记录为“失败”审核事件。
9. 如果您正在为运行 Microsoft Internet 信息服务 (IIS) 5.0 版的 Web 服务器设置审核,请参见本文“参考”部分的“Windows 2000 IIS 5.0 Web 服务器审核推荐设置”一节,以查看推荐的审核列表。
注意:如果您是域成员并且已定义域级策略,则域级设置将替代本地策略设置。
如果启用了 Active Directory,管理员可以监视对 Active Directory 的访问,这会将成功的和“失败”的审核尝试记录到“目录服务”事件日志中。此事件日志只会在 Windows 2000 域控制器上出现。
要启用 Active Directory 审核,请按照下列步骤操作:
1. 以具有管理员权限的帐户登录到 Windows 2000,如果您想授权其他用户设置审核,请参阅下面的参考部分。
2. 确保安装了“组策略”管理单元,如果没有,请按照下面部分列出的说明进行安装。
3. 单击开始,指向程序,然后指向管理工具,以启动“Active Directory 用户和计算机”管理单元。
4. 在查看菜单上,单击高级功能。
5. 右键单击域控制器容器,然后单击属性。
6. 单击组策略选项卡。
7. 单击默认域控制器策略,然后单击编辑。
8. 双击下列项目以打开它们:计算机配置、Windows 设置、安全设置、本地策略、审核策略。
9. 在右窗格中,打开审核目录服务访问。
10. 单击相应的选项:审核成功的尝试和(或)审核失败的尝试。
11. 如果您正在为 IIS 5.0 Web 服务器设置审核,请参见本文“参考”部分的“Windows 2000 IIS 5.0 Web 服务器审核推荐设置”一节,以查看推荐的审核列表。
注意:在 Windows 2000 中,域控制器每五分钟轮询一次策略更改。企业中的其他域控制器会在这段时间间隔加上复制的时间内收到这些更改。
注意:如果审核项对话框中访问下的复选框是灰色的,或者访问控制设置对话框中的删除按钮不可用,则表明已从父文件夹继承了审核。因为“安全”日志有大小限制,所以请仔细选择要审核的文件和文件夹。还要考虑用于“安全”日志的磁盘空间大小。最大大小是在“事件查看器”中定义的。
审核 Windows 2000 Server 中的事件
设置、查看、更改或者删除 Windows 文件或文件夹审核
设置审核以检测和记录与安全相关的事件,例如用户尝试访问机密文件或文件夹。在审核一个对象时,只要该对象以某种方式被访问,就会向 Windows 2000 安全日志中写入一个条目。您需要确定要审核哪些对象、哪些操作以及要审核的操作的确切类型。设置完审核之后,您可以跟踪访问某些对象的用户并分析安全违背情况。审核记录可以显示哪些人执行了什么操作,哪些人尝试执行了不被允许的操作。
要设置审核,请按照下列步骤操作:
1. 启动 Windows 资源管理器(单击开始,依次指向程序、附件,然后单击 Windows 资源管理器),然后找到要审核的文件或文件夹。
2. 右键单击该文件或文件夹,单击属性,然后单击安全选项卡。
3. 单击高级,然后单击审核选项卡。
4. 执行以下某个适用的操作:
a. 要为新组或用户设置审核,请按照下列步骤操作:
1. 单击添加。在名称框中,键入要审核的用户的名称。
2. 单击确定以自动打开审核项对话框。
b. 要查看或更改对现有组或用户的审核,请单击该名称,然后单击查看/编辑。
c. 要删除对现有组或用户的审核,请单击该名称,然后单击删除。
5. 根据要审核的访问类型,在访问下,单击成功、失败或成功 和失败。
6. 如果要防止树中的文件和子文件夹继承这些审核项,请单击以选中“应用这些审核项”复选框。
审核以检测未授权的访问
您可以在 Windows 安全日志中检测未授权的访问尝试,这些尝试能够以警告或错误日志项的形式出现。您还可以将这些日志存档以便日后使用。
要通过查看“Windows 安全日志”检测有可能发生的安全问题,请按照下列步骤操作:
1. 单击开始,指向设置,然后单击控制面板。
2. 双击管理工具,然后双击计算机管理。
3. 展开系统工具,然后展开事件查看器。
4. 单击安全日志。
注意:如果您不能查看这些安全日志,则说明您所使用的用户帐户没有相应的权限。出现这个问题是因为域级别的安全策略会覆盖本地计算机级别的安全策略,即,您可以以本地计算机管理员的身份登录,但无权访问计算机的安全日志。要获得这些权限,请咨询您的网络管理员。有关安全策略的更多信息,请参阅 Windows 文档。
5. 检查日志以发现可疑的安全事件,其中包括以下事件:
• 无效登录尝试。
• 特权的不成功使用。
• 访问和修改 .bat 或 .cmd 文件的不成功尝试。
• 修改安全权限或审核日志的尝试。
• 关闭服务器的尝试。
使用 Windows 安全日志
如何存档 Windows 安全日志
要存档 Windows 安全日志,请按照下列步骤操作:
1. 单击开始,指向设置,然后单击控制面板。
2. 双击管理工具,然后双击计算机管理。
3. 展开系统工具,然后展开事件查看器。
4. 单击安全性。
5. 在操作菜单上,单击另存日志文件。
6. 在另存为对话框中,单击要将该文件保存到的目录,然后为该文件键入一个名称。
注意:安全日志可以保存为事件文件 (.evt)、文本文件 (.txt) 或逗号分隔文件 (.csv)。
如何打开存档的 Windows 安全日志
要打开存档的 Windows 安全日志,请按照下列步骤操作:
1. 单击开始,指向设置,然后单击控制面板。
2. 双击管理工具,然后双击计算机管理。
3. 展开系统工具,然后展开事件查看器。
4. 在日志菜单上,单击安全性。
5. 在操作菜单上,指向打开日志文件。
6. 在打开对话框中,可以单击以前保存的日志,也可以改为“查找范围”列表中的位置并通过浏览找到相应文件。
7. 在“日志类型”列表中,单击安全性。
8. 单击确定以便在查看器中打开该文件。
疑难解答
因为“安全”日志有大小限制,所以请仔细选择要审核的文件和文件夹。还要考虑用于“安全”日志的磁盘空间大小。最大大小是在“事件查看器”中定义的。
重要说明:在 Windows 2000 能够审核对文件和文件夹的访问之前,您必须使用“组策略”管理单元在“审核策略”中启用“审核对象访问”设置。如果不启用,当设置文件和文件夹的审核时,就会收到错误消息,并且不会审核任何文件或文件夹。在“组策略”中启用审核之后,在“事件查看器”中查看安全日志,了解对审核文件和文件夹有哪些成功或者失败的访问尝试。
如何安装组策略管理单元
要使用本文描述的审核功能,您需要安装“组策略”管理单元。此管理单元不包括在“计算机管理”控制台中,您需要为“组策略”管理单元创建新的控制台。有关添加 MMC 管理单元的更多信息,请参阅 Windows 2000 文档。
要新建 MMC 控制台和添加“组策略”管理单元,请按照下列步骤操作:
1. 单击开始,然后单击运行。在运行对话框中,键入 mmc 以启动一个新的 MMC 控制台。
2. 在控制台菜单上,单击添加/删除管理单元。
3. 在添加/删除管理单元对话框中,单击添加。
4. 在添加独立管理单元对话框中,在提供的管理单元列表中单击组策略。单击添加。
5. 在选择组策略对象对话框中,单击完成以审核本地计算机,或者单击浏览以查找要审核的计算机。
6. 如果单击了浏览,则继续执行步骤 7;如果单击了完成,则转到步骤 9。
7. 在“浏览组策略对象”对话框中,单击计算机选项卡,单击其他计算机,通过浏览找到要审核的计算机,然后单击确定。
8. 在选择组策略对象对话框中,单击完成。
9. 关闭添加独立管理单元对话框。
10. 单击确定。
11. 在控制台菜单中,选择保存以便将新的控制台保存到硬盘上。这是您将用来配置审核功能的控制台。
如何使另一个帐户能够配置审核
在默认情况下,只有管理员组的成员才有权配置审核。您可以通过在“组策略”中授予“管理审核和安全日志”权限,将配置审核服务器事件的任务委派给另一个用户帐户。
要使该帐户能够配置审核,请按照下列步骤操作:
1. 在所创建的组策略控制台中,按照以下顺序展开下面的菜单:
a. 计算机配置
b. Windows 设置
c. 安全设置
d. 本地策略
e. 用户权限分配
2. 单击“管理审核和安全日志”,单击操作,然后单击安全。
3. 在“管理审核和安全日志”对话框中,单击添加。
注意:如果添加按钮不可用(显示为灰色),请单击以清除“从本地策略中排除”复选框,以便激活添加按钮。
4. 单击列表中适当的用户或用户组,然后单击添加。单击确定。
Windows 2000 IIS 5.0 Web 服务器审核推荐设置
对于运行 IIS 5.0 的基于 Windows 2000 Server 的计算机,应使用下面的 Windows 事件进行审核。“审核成功尝试”表明您对成功的事件感兴趣,“审核失败尝试”表明您对执行失败的事件感兴趣。“开”表示该事件要审核,“关”表示该事件不审核。
下面针对基于 Windows 2000 的计算机(作为 IIS Web 服务器)上的各种事件列出了相应的审核建议:
• 帐户登录
审核成功尝试:开
审核失败尝试:开
• 帐户管理
审核成功尝试:关
审核失败尝试:开
• 目录服务访问
审核成功尝试:关
审核失败尝试:开
• 登录
审核成功尝试:开
审核失败尝试:开
• 对象访问
审核成功尝试:关
审核失败尝试:关
• 策略更改
审核成功尝试:开
审核失败尝试:开
• 特权使用
审核成功尝试:关
审核失败尝试:开
• 过程追踪
审核成功尝试:关
审核失败尝试:关
• 系统
审核成功尝试:关
审核失败尝试:关
这篇文章中的信息适用于:
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Professional Edition
关键字: kbhowto kbhowtomaster kbperformance KB300549
添加到百度搜藏
