实训6-2--Windows安全审计功能

本节实训与思考的⽬ 的是：

(1) 熟悉安全审计技术的基本概念和基本内容。

(2) 通过深⼊了解和应⽤Windows 操作系统的审计追踪功能，来加深理解安全审计技术，掌握Windows 的安全审计功能。1 ⼯具/准备⼯作

在开始本实训之前，请认真阅读本课程的相关内容。

需要准备⼀台运⾏Windows XP Professional 操作系统的计算机。2 实训内容与步骤(1) 概念理解

1) 请通过查阅有关资料，简单叙述什么是“安全审计” 计算机安全审计是通过⼀定的策略，利⽤记录和分析历史操作事件来发现系统的漏洞实训

6.2 Windows 安全审计功能并改进系统的性能和安全。2) 审计追踪的⽬的是什么？

⽬的是发现违反安全策略的活动、影响运⾏效率的问题以及程序中的错误。3) 审计系统的⽬标是什么？如何实现？

安全审计提供的功能服务于直接和间接两个⽅⾯的安全⽬标：直接⽬标包括跟踪和监测系统中的异常事件；间接⽬标是监视系统中其他安全机制的运⾏情况和可信度。4) 审计的主要内容包括哪些？

包括个⼈职能：审计跟踪是管理⼈员⽤来维护个⼈职能的⼿段；事件重建：在发⽣故障后，审计跟踪可以⽤于重建事件和数据恢复；⼊侵检测和故障分析。(2) Windows安全审计功能

操作系统⼀般都提供审计功能。下⾯，我们以Windows XP Professional操作系统为例，来了解Windows的安全审计功能及其应⽤。

1) 审计⼦系统结构。在Windows系统中，⼏乎每⼀项事务都可以在⼀定程度上被审计。

步骤1：在Windows“开始”菜单中单击“控制⾯板”命令，在“控制⾯板”窗⼝中双击“管理⼯具”图标，在“管理⼯具”窗⼝中进⼀步双击“本地安全策略”图标，打开“本地安全设置”窗⼝。在左边窗格中选择“本地策略”>“审核策略”，

系统管理员可以根据各种⽤户事件的成功和失败选择审计策略，如登录和退出、⽂件访问、权限⾮法和关闭系统等。如图6.1所⽰。

图6.1 本地安全策略——审核策略设置

步骤2：Windows使⽤⼀种特殊的格式来存放它的⽇志⽂件，这种格式的⽂件可以被“事件查看器”所读取。在“控制⾯板”的“管理⼯具”窗⼝中双击“事件查看器”图标，打开“事件查看器”窗⼝如图6.2所⽰。

图6.2 事件查看器

系统管理员可以使⽤事件查看器的筛选选项，根据⼀定条件(包括类别、⽤户和消息类型等) 选择要查看的⽇志条⽬。

Windows的⽇志⽂件主要是系统⽇志、应⽤程序⽇志和安全⽇志3个，它们是审计Windows系统的核⼼，Windows中所有可被审计的事件都存⼊了其中的⼀个⽇志。

①系统⽇志。跟踪各种各样的系统事件，⽐如跟踪系统启动过程中的事件或者硬件和控制器的故障。

②应⽤程序⽇志。跟踪应⽤程序关联的事件，例如应⽤程序产⽣的装载dll (动态链接库) 失败的信息将出现在⽇志中。③安全⽇志。跟踪事件如登录上⽹、下⽹、改变访问权限以及系统启动和关闭。

但是，⽤于浏览审计⽇志的⼯具——事件查看器只有有限的灵活性，对⼤型⽇志的浏览速度很慢。由于每个服务器和⼯作站都有⾃⼰的⽇志集。这些⽇志分散在Windows⽹络的成千上万个服务器上，没有复杂的⾃动操作⼯具和数据转储⼯具，管理和利⽤这些⽇志是⾮常困难的。

2) 审计⽇志和记录格式。Windows的审计⽇志由⼀系列的事件记录组成。每⼀个事件记录分为三个功能部分：头、事件描述和可选的附加数据项。事件记录头由以下内容组成：

①类型。事件严重性指⽰器。在系统和应⽤⽇志中，类型可以是错误、警告或信息，按重要性降序排列。在安全⽇志中，类型可能是成功审计或失败审计。②⽇期。事件的⽇期标识。③时间。事件的时间标识。

④来源。⽤来响应产⽣事件记录的软件。源可以是⼀个应⽤程序、⼀个系统服务或⼀个设备驱动程序。⑤类别。触发事件类型，主要⽤在安全⽇志中指⽰该类事件的成功或失败审计已经被许可。⑥事件ID。事件类型的数字标识。在事件记录描述中，这个域通常被映射成⼀个⽂本标识(事件名) 。⑦⽤户名。标识事件是由谁触发的：这个标识可以是初始⽤户ID、某个客户II〕或两者同时具有。

⑧计算机名。事件所在的计算机名。当⽤户在整个企业范围内集中安全管理时，该信息⼤⼤简化了审计信息的回顾。请记录：

①应⽤程序⽇志中的事件个数为：____________________个。应⽤程序⽇志⽂件所在的物理位置是：

_____________________________________________________________________②安全性⽇志中的事件个数为：____________________个。安全性⽇志⽂件所在的物理位置是：

_____________________________________________________________________③系统⽇志中的事件个数为：____________________个。系统⽇志⽂件所在的物理位置是：

_____________________________________________________________________

3) 事件⽇志管理特征。Windows为系统管理员管理操作系统事件⽇志机制提供了⼤量特征。在“事件查看器”窗⼝左边的窗格中右键单击“应⽤程序”、“安全性”和“系统”等项⽬，然后在快捷菜单单击“属性”命令，可打开“属性对话框”，如图6.3所⽰。系统管理员可以在其中限制⽇志的⼤⼩，规定当⽂件达到容量上限时如何去处理这些⽂件，例如停⽌系统直到事件⽇志被⼿⼯清除等。

系统开始运⾏时，系统⽇志和应⽤事件⽇志也⾃动开始记录。当⽇志⽂件已满并且系统配置规定它们必须被⼿⼯清除时，⽇志停⽌。另外，安全事件⽇志必须由具有管理员权限的⼈启动。利⽤管理⼯具，可以设置安全审计规则。要启⽤安全审计的功能，只需在规则菜单下选择审计，然后通过查看记录的安全事件⽇志中的安全性事件，即可以跟踪所选⽤户的操作。

4) 安全⽇志的审计策略。安全⽇志由审计策略⽀配。审计策略可以通过配置审计策略对话框中的选项来建⽴。审计策略规定⽇志的事件类型并可以根据动作、⽤户和⽬标进⼀步具体化。安全事件记录包括动作的时间和⽇期、已执⾏的动作和执⾏响应的动作。成功和失败的动作都能在安全⽇志中产⽣条⽬。⽇志条⽬也记录企图执⾏被策略禁⽌的动作的活动；审计规则如下(既可以审计成功的操作，⼜可以审计失败的操作) 。①登录及注销。登录及注销或连接到⽹络。

图6.3 ⽇志的属性设置

②⽤户及组管理。创建、更改或删除⽤户账号或组，重命名、禁⽌或启⽤⽤户号，设置和更改密码。

③⽂件及对象访问。访问设置⽤于⽂件或⽬录审计的⽬录或⽂件的⽤户，向设置⽤于打印机审计的打印机发送打印作业的⽤

户。

④安全性规则更改。对⽤户权利、审计或委托关系规则的改动。

⑤重新启动、关机及系统级事件。⽤户重新启动或关闭计算机，或者发⽣了⼀个影响系统安全性或安全⽇志的事件。⑥进程追踪。这些事件提供了关于事件的详细跟踪信息，如程序活动、某些形式句柄的复制、间接对象的访问和退出进程：对于“⽂件及对象访问”中的⽂件和⽬录的审计还需要在资源管理器中对要审计的⽬录或⽂件进⾏具体设置。

⑦⽂件和⽬录审计。允许跟踪⽬录和⽂件的⽤法。对于⼀个具体的⽂件或⽬录，可以指定要审计的组、⽤户或操作。既可以审计成功的操作，⼜可以审计失败的操作。审计⽬录可以选择读、写、执⾏、删除、更改权限或者获得所有权等事件。审计⽂件也可以选择读、写、可执⾏、删除、更改权限、获得所有权等事件。

5) 管理和维护审计。通常情况下，Windows不是将所有的事件都记录⽇志，⽽需要⼿动启动审计的功能。在启动Windows的审计功能时，需要仔细选择审计的内容。审计⽇志将产⽣⼤量的数据，因此，较为合理的⽅法是⾸先设置进⾏简单的审计，然后在监视系统性能的情况下逐步增加复杂的审计要求。当需要审查审计⽇志以跟踪