Windows 2000 审核和入侵检测_动易Cms教程

本模块内容
要维护真正安全的环境，只是具备安全系统还远远不够。假如总假设自己不会受到攻击，或认为防护措施已足以保护自己的安全，都将非常危险。要维护系统安全，必须进行主动监视，以检查是否发生了入侵和攻击。

很多方面都说明，监视和审核入侵非常重要，具体原因有：

• 所有处于运行中的计算机环境都有可能被攻击。无论系统安全级有多高，总有面临攻击的风险。

• 成功的攻击一般出现在一系列失败攻击后。假如不监视攻击，您将无法在入侵者达到目的前检测到他们。

• 一旦攻击成功，越早发现越能减少损失。

• 为了能从攻击中恢复，需要了解发生了什么损失。

• 审核和入侵检测有助于确定是谁发起的攻击。

• 审核和入侵检测的结合使用有助于将信息进行关联，以识别攻击模式。

• 定期复查安全日志有助于发现未知的安全配置问题（如不正确的权限，或者不严格的帐户锁定设置）。

• 检测到攻击之后，审核有助于确定哪些网络资源受到了危害。


本模块讲述如何审核环境，以便发现攻击并跟踪攻击。本模块还讲述了如何监视是否发生了入侵，如何使用入侵检测系统（入侵检测系统是专门为发现攻击行为而设计的软件）。

返回页首
目标
使用本模块可以实现下列目标：

• 使用最佳做法在组织中进行审核。

• 保护要害日志文件，防止攻击者干预证据。

• 结合使用被动和主动的检测方法。

• 明确监督和监视员工要具备哪些工具和技术，以及如何在审核过程中使用这些工具和技术。


返回页首
适用范围
本模块适用于下列产品和技术：

• Microsoft® Windows 2000™ 操作系统


返回页首
如何使用本模块
使用本模块中的指南可启动监视体系，该体系将主动检测入侵和攻击。这样，您能在发生攻击时及早干预，并减少该事件的影响，降低组织受到严重损失的风险。

为了充分理解本模块内容，请：

• 阅读模块：对 Windows 2000 环境中发现的事件进行响应。


返回页首
审核
在任何安全环境中，您都应主动监视以检查是否发生了入侵和攻击。假如总假设不会受到攻击，只是将安全系统放在那里，随后不执行任何审核工作，您将无法达到预期目标。

作为整体安全策略的一部分，您应确定适于所在环境的审核级别。审核过程应识别可能会对网络，或风险评估中已确定的有价值资源造成威胁的各种攻击（无论攻击成功或失败）。

当决定要审核多少内容时，切记审核的内容越多，生成的事件越多，发现严重事件就越困难。假如要审核大量内容，有必要考虑使用附加的工具来帮助筛选重要事件，这样的工具有 Microsoft Operations Manager (MOM) 等。

审核事件可分为两类：成功事件和失败事件。成功事件表明用户已成功获得某资源的访问权限，失败事件表明用户进行了尝试，但失败了。

失败事件十分有助于跟踪对环境进行的攻击尝试，成功事件则难以解释。虽然绝大多数成功审核事件只表明正常的操作，但获取了某系统访问权限的攻击者也会生成一个成功事件。通常，事件模式与事件本身同样重要。例如，一系列失败后的一次成功可能表示曾经的攻击尝试最终得到成功。

您应尽可能将审核事件与所拥有的相关用户的其他信息结合使用。例如，假如用户在休假，可选择用户不在时禁用其帐户，然后在重新启用帐户时再审核。

如何启用审核
使用组策略可在站点、域、组织单位 (OU) 或本地计算机级启用审核。审核策略位于：

计算机配置\Windows 设置\安全设置\本地策略\审核策略

通常情况下，应在 Microsoft Active Directory™ 目录服务层次的较高级实现审核，这有助于保持审核设置的一致性。Contoso 在“成员服务器”和“域控制器”OU 级都实现了审核。

查看更多 动易Cms教程  动易Cms模板