Windows 2000 审核和入侵检测(10)_动易Cms教程

注重：防止对事件日志进行来宾访问只能限制非域成员访问这些事件日志。在默认情况下，域中的所有用户都可访问系统日志和应用程序日志。只有安全日志的访问受到限制。指定了“Manage auditing and security log”（治理审核和安全日志）用户权限的安全主要对象可访问安全日志。在默认情况下，此用户权限只分配给治理员和 Exchange 企业服务器。

其他最佳审核方法
除了配置审核之外，还应实现一些其他方法，从而有效审核服务器环境的安全性。这些方法包括：

• 安排定期复查事件日志。

• 复查其他应用程序日志文件。

• 监视安装的服务和驱动程序。

• 监视打开的端口。


安排定期复查事件日志

正如上面提到的，安全日志及可能生成的其他事件日志应写入可移动材料中，或合并到一个中心位置以便于进行复查。复查这些日志经常被人们遗漏。

Contoso 已完成了大量的工作，确保有一人或一个部门负责将复查事件日志作为定期的任务来执行。这样的事件日志复查可安排为天天一次，也可安排为每周一次，具体取决于安全日志中收集的数据数量。通常，这根据网络中实现的审核级别而定。审核中包括的事件越多，日志项的数量就越多。假如安排了定期的事件日志复查，则有助于达到以下目标：

• 更快检测安全问题
假如天天执行一次事件日志的复查，安全事件的保留时间永远不会超过 24 小时。这使检测和修复安全漏洞的速度变得更快。

• 定义责任
假如要定期复查事件日志，则安排了复查日志文件任务的人员可最终负责识别潜在的攻击。

• 降低事件被覆盖或服务器宕机的危险
一旦复查了事件日志，便可对日志文件中的事件进行存档以便将来复查，并从当前事件日志中删除。这种做法会降低事件日志填满的危险。


复查其他应用程序日志文件

除了复查安全事件的 Windows 2000 事件日志之外，还应复查应用程序生成的日志。这些应用程序日志可能包括一些有关潜在攻击的有价值的信息，可以对事件日志中的信息进行补充。根据环境的具体情况，可能需要查看一个或多个下面的日志文件：

• Internet 信息服务 (IIS)
IIS 会创建一些日志文件来跟踪 Web、文件传输协议 (FTP)、网络时间协议 (NTP) 和简单邮件传输协议 (SMTP) 服务的连接尝试。在 IIS 中运行的每个服务都维护一个单独的日志文件，这些日志文件会以万维网联合会 (W3C) 扩展式日志文件格式保存在 %WinDir%\System32\Logfiles 文件夹中。每个服务都维护一个单独的文件夹来进一步细分日志信息。另外，可以配置 IIS 使其将日志保存到符合开放式数据库连接性 (ODBC) 的数据库中，如 Microsoft SQL Server™。

• Microsoft Internet Security and Acceleration (ISA) 服务器
ISA 服务器提供了数据包筛选器、ISA 服务器防火墙服务和 ISA 服务器 Web 代理服务的日志。与 IIS 一样，在默认情况下，这些日志以 W3C 扩展式日志文件格式保存，但也可记录到符合 ODBC 的数据库中。在默认情况下，ISA 服务器日志文件保存在 C:\Program Files\Microsoft ISA Server\ISALogs 文件夹中。

• Internet 验证服务 (IAS)
IAS 使用远程验证拨号用户服务 (RADIUS) 协议为远程访问验证提供集中的验证和记帐。在默认情况下，记帐请求、身份验证请求和定期的状态请求会记录到位于 %WinDir%\System32\Logfiles 文件夹中的 IASlog.log 文件中。另外，日志文件可按兼容数据库的文件格式保存，而不是按 IAS 格式保存。

• 第三方应用程序
目前有若干第三方应用程序都会实现本地记录功能，并提供有关该应用程序的具体信息。有关具体信息，请参考应用程序专属的帮助文件。

查看更多 动易Cms教程  动易Cms模板