Vista系统下Windows审核功能应用(2)
3、查看审核报告
在启用了审核策略后,系统就会在系统的日志中记录相关的事件。如果要查看日志,就需要通过“事件查看器”来进行查看,依次单击“开始”→“控制面板”→“系统和维护”→“管理工具”,打开“事件查看器”控制台,在“Windows 日志”下分别有“应用程序”、“安全”、“安装程序”、“系统”、“转发事件”等多个类别,单击不同类别可以在中间的窗格中查看到所有该类别的事件记录。双击某个事件记录,可以打开该记录的详细信息窗口,用户便可以了解该事件的来源和发生事件、事件ID等。
右击某一类的事件日志,可以对其日志进行一些操作。例如,我们可以选择“将事件另存为”来导出该类别的事件日志;选择“打开保存的日志”,用于导入已存在的事件日志;如果日志记录太多,为了释放更多的空间,我们可以选择“清除日志”选项来清除所有记录;而管理员需要在众多的记录中找到自己所需的信息,可以借助“筛选当前日志”功能,根据事件级别、事件ID、关键字、用户等信息进行筛选。(图3)
4、监控文件访问
文件监控在现实环境中非常实用,比如管理员设置了一个共享文件夹,但被人改得面目全非,我们就可以通过文件夹监控来确定到底是哪些用户对文件夹进行了操作,然后进一步确定是哪个用户做的。需要说明的是,文件或者文件夹的监控是基于NTFS文件系统,所以分区格式必须是这种格式。
首先在“本地安全策略”中启用“审核对象访问”策略,为了准确定位,我们可以只对“成功”事件进行记录。然后定位到需要监控的文件夹,右键点击选择“属性”,在“安全”选项卡中单击“高级”按钮,接着选择“审核”选项卡单击“继续”按钮,在打开的窗口中单击“添加”按钮,输入要添加审核的用户帐户或用户组的名称。然后在“审核项目”面板中勾选需要监控的操作,包括创建文件/写入数据、删除等。如果要监控用户的所有操作可以选择“完全控制”。最后单击“确定”按钮,即可完成审核的设置。(图4)
这样系统会将指定的事件记录在系统日志中,我们可以通过“时间查看器”的“Windows 日志”→“安全”中查看到相关的记录。当然,此时的事件记录是非常多的,我们可以通过“筛选器”进行筛选。右键点击左侧的“安全”选择“筛选当前日志”打开筛选窗口。在“筛选器”选项卡下进行筛选设置,因为我们要查看是拷贝的文件“事件来源选择”就选择“Security-Auditing”,“任务类别”选择“文件系统”,“事件ID”输入“4656”所示,然后“确定”退出。这时候,在“事件查看器”右边列出的就是每一次读取数据的信息了。双击每一项目可查看详细信息,注意带有 Object Type: File 的项目才是对文件的访问。我们双击打开就可以看到hacker用户就fr文件夹进行的拷贝操作。 (图5)
总结:本文只以文件监控为例演示了Vista“审核”功能在系统安全方面的应用,其实它的应用是非常广泛的。不过,其使用方法类似,一般是先启用想要的“审核”策略,然后通过“事件查看器”进行查看。当然,灵活应用“筛选器”可以帮助我们快速定位到我们需要查看的项目。