Windows 2000 审核和入侵检测(6)_动易Cms教程

确定特定用户的操作
在 560 事件中定义筛选器来标识特定用户。

确定在特定计算机上执行的操作
在 560 事件中定义筛选器来标识在其中执行任务的特定计算机。


Contoso 不专门监视任何对象访问事件，但要审核某些文件的对象访问。此信息对于响应一个安全事件尤其有用。

目录服务访问
Active Directory 对象有相关联的 SACL，因此可进行审核。正如前面提到的，审核帐户治理可审核 Active Directory 用户和组帐户。但是，假如想审核其他命名上下文中对象的修改（如配置和架构命名上下文），必须审核对象访问，然后为要审核的特定容器定义 SACL。假如 Active Directory 对象 SACL 中列出的用户要尝试访问该对象，就会生成审核项。

您可以使用 ADSIEDIT MMC 治理单元来修改配置命名上下文（和其他命名上下文）中容器和对象的 SACL。过程如下：在 ADSIEDIT 控制台中显示所需的上下文，然后在“高级安全设置”对话框中修改该对象的 SACL。

由于发生了大量事件（通常都是些无关紧要的事件），所以很难找出目录服务访问的特定事件。因此，“成员服务器和域控制器基准策略”只审核目录服务访问的失败事件。这有助于弄清攻击者何时尝试对 Active Directory 进行了未授权访问。

尝试的目录访问在安全日志中将显示为一个 ID 为 565 的目录服务事件。只有通过查看安全事件的具体信息，才能确定该事件与哪个对象相对应。

Contoso 不专门监视任何目录服务访问事件，但要审核某些文件的对象访问。此信息对于响应一个安全事件尤其有用。

特权使用
当用户在信息技术 (IT) 环境中工作时，他们将运用所定义的用户权限。假如审核特权使用的成功和失败，每次用户尝试运用用户权限时都会生成一个事件。

即使真的要审核特权使用，也并非所有的用户权限都会审核。在默认情况下，不包括下列用户权限：

• 跳过遍历检查

• 调试程序

• 创建令牌对象

• 替换进程级令牌

• 生成安全审核

• 备份文件和目录

• 还原文件和目录


您可以在组策略中启用“对备份和还原权限的使用进行审核”安全选项，从而覆盖不审核“备份”和“还原”用户权限的默认行为。

审核成功的特权使用会在安全日志中产生大量的项。因此，“成员服务器和域控制器基准策略”只会审核失败的特权使用。

假如启用了特权使用审核，将生成下列事件。

表 6：事件日志中的特权使用事件

事件 ID 说明
576
指定特权已添加到用户的访问令牌中。（此事件在用户登录时生成。）

577
用户尝试执行授权的系统服务操作。

578
在已打开的受保护对象上使用了特权。


下面是使用某些特定用户权限时，可能存在的一些事件日志项示例：

• 作为操作系统的一部分
请查找指定了 SeTcbPrivilege 访问特权的事件 ID 577 或 578。事件具体信息指出了使用该用户权限的用户帐户。此事件表明，用户作为操作系统的一部分使用了超越安全的特权。例如，GetAdmin 攻击就会使用此特权，在这种攻击中，用户尝试将他们的帐户添加到 Administrator 组中。此事件的唯一项应用于 System 帐户，以及分配了该用户权限的所有服务帐户。

• 更改系统时间
请查找指定了 SeSystemtimePrivilege 访问特权的事件 ID 577 或 578。事件具体信息表明了使用该用户权限的用户帐户。此事件表明，用户尝试通过更改系统时间来隐藏事件发生的真实时间。

• 从远程系统进行强制关机
请查找指定了 eRemoteShutdownPrivilege 用户访问权限的事件 ID 577 和 578。事件具体信息中包括了分配该用户权限的特定安全标识符 (SID)，以及分配该权限的安全主要对象的用户名。

查看更多 动易Cms教程  动易Cms模板