|
Windows Server 系统凭借其超强的系统功能较高的智能化程度以及更甚一筹的安全性能吸引了很多朋友创建条件前来尝鲜试用在与Windows Server 系统亲密接触一段时间后我们发现平时不怎么起眼的审核功能变得更加强大了巧妙借助该功能我们可以对服务器系统的一切操作进行跟蹤监视并能依照监视结果来快速排查服务器系统故障以及保障服务器系统的运行安全现在本文就对Windows Server 系统的审核功能进行挖掘以方便各位朋友利用该功能更好地服务自己 启用配置审核功能 Windows Server 系统的审核功能在默认状态下并没有启用我们必须针对特定系统事件来启用配置它们的审核功能这样一来该功能才会对相同类型的系统事件进行监视记录网络管理员日后只要打开对应系统的日志记录就能查看到审核功能的监视结果了审核功能的应用范围很广泛不但可以对服务器系统中的一些操作行为进行跟蹤监视而且还能依照服务器系统的运行状态对运行故障进行快速排除当然需要提醒各位朋友的是审核功能的启用往往要消耗服务器系统的一些宝贵资源并会造成服务器系统的运行性能下降这是因为Windows Server 系统必须腾出一部分空间资源来保存审核功能的监视记录结果为此在服务器系统空间资源有限的情况下我们应该谨慎使用审核功能确保该功能只对一些特别重要的操作进行监视记录 在启用配置Windows Server 系统的审核功能时我们可以先以系统超级权限登录进入对应系统打开该系统桌面中的开始菜单从中依次点选设置控制面板命令在弹出的系统控制面板窗口中依次单击系统和维护管理工具图标在其后出现的管理工具列表窗口中找到本地安全策略图标并用鼠标双击该图标打开本地安全策略控制台窗口 其次在目标控制台窗口的左侧显示窗格中依次展开安全设置/本地策略/审核策略分支选项在对应审核策略分支选项的右侧显示窗格中我们会发现Windows Server 系统包含九项审核策略也就是说服务器系统可以允许对九大类操作进行跟蹤记录如图所示 图 本地安全策略 审核进程跟蹤策略是专门用来对服务器系统的后台程序运行状态进行跟蹤记录的例如服务器系统后台突然运行或关闭了什么程序handle句柄是否进行了文件复制或系统资源的访问等操作审核功能都可以对它们进行跟蹤记录并将监视记录的内容自动保存到对应系统的日志文件中 审核帐户管理策略是专门用来跟蹤监视服务器系统登录账号的修改删除添加操作的任何添加用户账号操作删除用户账号操作修改用户账号操作都会被审核功能自动记录下来 审核特权使用策略是专门用来跟蹤监视用户在服务器系统运行过程中执行除注销操作登录操作以外的其他特权操作的任何对服务器系统运行安全有影响的一些特权操作都会被审核功能记录保存到系统的安全日志中网络管理员根据日志内容就容易找到影响服务器运行安全的一些蛛丝马迹 启用不同的审核策略Windows Server 系统就会对不同类型的操作进行跟蹤记录网络管理员应该依照自己的安全要求以及服务器系统的性能配置来启用适合自己的审核策略而不要盲目地启用所有审核策略那样一来审核功能的作用反而得不到充分发挥 图 审核登陆事件属性 比方说要是我们想对服务器系统的登录状态进行跟蹤监视以便确认局域网中是否存在非法登录行为时那我们就可以直接用鼠标双击这里的审核登录事件策略打开对应策略的选项设置对话框(如图所示)选中其中的成功和失败选项再单击确定按钮如此一来Windows Server 系统日后就会自动对本地服务器系统的所有系统登录操作进行跟蹤记录无论是登录服务器成功的操作还是登录服务器失败的操作我们都能通过事件查看器找到对应的操作记录仔细分析这些登录操作的记录我们就能发现本地服务器中是否真的存在非法登录甚至非法入侵行为 查看审核功能记录 启用配置好合适的审核策略后Windows Server 系统就会自动对特定类型的操作进行跟蹤记录并将记录内容保存到对应系统的日志文件中了以后网络管理员可以根据日志内容寻找服务器系统中是否存在安全威胁在查看审核功能记录下来的日志内容时我们必须借助事件查看器功能来完成下面就是查看审核功能记录的具体操作步骤 首先以超级管理员权限进入Windows Server 系统依次单击该系统桌面中的开始/程序/管理工具/服务器管理器命令打开对应系统的服务器管理器控制台窗口 其次在该控制台窗口的左侧显示区域中将鼠标定位于诊断分支选项并从该分支选项下面依次点选事件查看器/Windows日志子项在目标子项下面我们会看到应用程序安全安装程序系统转发事件这五个类别的事件记录如图所示 图 服务器管理器 用鼠标选中某个类别选项时我们就能从图界面的中间显示区域中清楚地看到对应类别下的所有事件记录再用鼠标双击指定的记录选项时就能打开目标事件记录的详细信息界面在该界面中我们就可以详细查看到目标事件的来源具体的事件内容事件ID以及其他相关信息等 发现重要的事件内容时我们还可以对其执行一些操作比方说为了日后有空时能对重要事件内容进行仔细分析我们可以将重要事件内容先保存起来以防止清理日志时被意外删除掉在保存重要事件内容时我们只要用鼠标右键单击目标事件内容从弹出的快捷菜单中执行将事件另存为命令之后设置好保存路径以及具体的文件名称再单击保存按钮就可以了日后只需要再执行右键菜单中的打开保存的日志命令就能将以前保存好的日志文件调用出来了要是发现服务器系统中保存的事件内容太多时我们应该定期执行右键菜单中的清除日志命令来清空日志记录以便腾出更多的宝贵空间资源在日志记录较多的情况下要想快速寻找自己想要的事件记录是一件不容易的事情此时我们不妨执行筛选当前日志命令来对日志记录进行筛选 实战应用审核功能 审核功能在现实环境中对Windows Server 系统尤为重要因为服务器系统在局域网环境中很容易受到攻击网络管理员可以利用审核功能来对各种攻击行为进行跟蹤监控遇到有潜在安全威胁的事件发生时我们可以想方设法地将审核功能监控到的事件内容通知给网络管理员网络管理员就能立即查明事件原因并对症下药地解决问题从而保障服务器系统不受非法攻击了 例如一些木马程序常常会在服务器系统中偷偷创建用户账号以便窃取服务器系统的超级管理员权限此时我们可以通过用户账号监控来确定服务器系统中究竟是否存在非法用户账号然后进一步确定究竟是哪一个用户账号是非法账号需要说明的是要想让Windows Server 系统自动将非法账号创建的事件通知给网络管理员时必须确保对应系统的Task Scheduler服务处于正常的运行状态 首先依次单击Windows Server 系统桌面中的开始/运行命令在弹出的系统运行对话框中执行字符串命令secpolmsc打开服务器系统的本地安全策略控制台窗口 图 审核帐户管理 其次在该控制台窗口的左侧显示区域依次展开安全设置本地策略审核策略分支选项在对应审核策略分支选项的右侧显示区域中双击审核账户管理策略选项打开如图所示的策略选项设置对话框选中成功和失败选项再单击确定按钮关闭策略选项设置对话框这样一来无论用户账户创建成功还是创建失败Windows Server 系统都会自动记录下用户账号创建事件 为了把用户账号创建事件内容自动通知给网络管理员我们还需要针对该事件附加执行自动报警的任务计划在附加自动报警任务时我们先依次单击Windows Server 系统桌面中的开始/程序/管理工具/服务器管理器命令打开对应系统的服务器管理器控制台窗口在该控制台窗口的左侧区域依次点选诊断/事件查看器/Windows日志/系统子项再从系统子项下面找到创建用户账号事件如果找不到该事件内容时我们还需要采用手工方法随意在服务器系统中创建一个用户账号这样一来用户账号创建事件就会出现在事件查看器中了 用鼠标右键单击用户账号创建事件从弹出的快捷菜单中执行将任务附加到此事件命令打开任务计划添加向导对话框之后设置好新任务的名称例如这里我们将新任务取名为自动报警用户账号创建情况当屏幕上出现如图所示的设置对话框时选中显示消息选项再设置好需要报警的标题与内容在这里我们将标题设置为自动报警用户账号创建情况将报警内容设置为服务器系统中可能有非法账号被创建请网络管理员立即处理相关事件!最后单击完成按钮这样一来Windows Server 系统日后就能把审核功能记录下来的用户账号创建情况自动报告给网络管理员了 图 创建基本任务向导 当我们尝试通过远程桌面方式在服务器系统中随意创建一个用户账号时Windows Server 系统屏幕上立即出现了一个自动报警提示窗口告诉网络管理员说服务器系统中可能有非法账号被创建请网络管理员立即处理相关事件!这就意味着此时有人在服务器系统中偷偷创建用户账号了网络管理员根据这个自动报警提示信息就能在第一时间采取措施来解决相关问题从而保障Windows Server 服务器系统不受非法攻击了 |
