Windows 2000 审核和入侵检测_动易Cms教程
教程Tag:暂无Tag,欢迎添加,赚取U币!
本模块内容
要维护真正安全的环境,只是具备安全系统还远远不够。假如总假设自己不会受到攻击,或认为防护措施已足以保护自己的安全,都将非常危险。要维护系统安全,必须进行主动监视,以检查是否发生了入侵和攻击。
很多方面都说明,监视和审核入侵非常重要,具体原因有:
• 所有处于运行中的计算机环境都有可能被攻击。无论系统安全级有多高,总有面临攻击的风险。
• 成功的攻击一般出现在一系列失败攻击后。假如不监视攻击,您将无法在入侵者达到目的前检测到他们。
• 一旦攻击成功,越早发现越能减少损失。
• 为了能从攻击中恢复,需要了解发生了什么损失。
• 审核和入侵检测有助于确定是谁发起的攻击。
• 审核和入侵检测的结合使用有助于将信息进行关联,以识别攻击模式。
• 定期复查安全日志有助于发现未知的安全配置问题(如不正确的权限,或者不严格的帐户锁定设置)。
• 检测到攻击之后,审核有助于确定哪些网络资源受到了危害。
本模块讲述如何审核环境,以便发现攻击并跟踪攻击。本模块还讲述了如何监视是否发生了入侵,如何使用入侵检测系统(入侵检测系统是专门为发现攻击行为而设计的软件)。
返回页首
目标
使用本模块可以实现下列目标:
• 使用最佳做法在组织中进行审核。
• 保护要害日志文件,防止攻击者干预证据。
• 结合使用被动和主动的检测方法。
• 明确监督和监视员工要具备哪些工具和技术,以及如何在审核过程中使用这些工具和技术。
返回页首
适用范围
本模块适用于下列产品和技术:
• Microsoft® Windows 2000™ 操作系统
返回页首
如何使用本模块
使用本模块中的指南可启动监视体系,该体系将主动检测入侵和攻击。这样,您能在发生攻击时及早干预,并减少该事件的影响,降低组织受到严重损失的风险。
为了充分理解本模块内容,请:
• 阅读模块:对 Windows 2000 环境中发现的事件进行响应。
返回页首
审核
在任何安全环境中,您都应主动监视以检查是否发生了入侵和攻击。假如总假设不会受到攻击,只是将安全系统放在那里,随后不执行任何审核工作,您将无法达到预期目标。
作为整体安全策略的一部分,您应确定适于所在环境的审核级别。审核过程应识别可能会对网络,或风险评估中已确定的有价值资源造成威胁的各种攻击(无论攻击成功或失败)。
当决定要审核多少内容时,切记审核的内容越多,生成的事件越多,发现严重事件就越困难。假如要审核大量内容,有必要考虑使用附加的工具来帮助筛选重要事件,这样的工具有 Microsoft Operations Manager (MOM) 等。
审核事件可分为两类:成功事件和失败事件。成功事件表明用户已成功获得某资源的访问权限,失败事件表明用户进行了尝试,但失败了。
失败事件十分有助于跟踪对环境进行的攻击尝试,成功事件则难以解释。虽然绝大多数成功审核事件只表明正常的操作,但获取了某系统访问权限的攻击者也会生成一个成功事件。通常,事件模式与事件本身同样重要。例如,一系列失败后的一次成功可能表示曾经的攻击尝试最终得到成功。
您应尽可能将审核事件与所拥有的相关用户的其他信息结合使用。例如,假如用户在休假,可选择用户不在时禁用其帐户,然后在重新启用帐户时再审核。
如何启用审核
使用组策略可在站点、域、组织单位 (OU) 或本地计算机级启用审核。审核策略位于:
计算机配置\Windows 设置\安全设置\本地策略\审核策略
通常情况下,应在 Microsoft Active Directory™ 目录服务层次的较高级实现审核,这有助于保持审核设置的一致性。Contoso 在“成员服务器”和“域控制器”OU 级都实现了审核。
要维护真正安全的环境,只是具备安全系统还远远不够。假如总假设自己不会受到攻击,或认为防护措施已足以保护自己的安全,都将非常危险。要维护系统安全,必须进行主动监视,以检查是否发生了入侵和攻击。
很多方面都说明,监视和审核入侵非常重要,具体原因有:
• 所有处于运行中的计算机环境都有可能被攻击。无论系统安全级有多高,总有面临攻击的风险。
• 成功的攻击一般出现在一系列失败攻击后。假如不监视攻击,您将无法在入侵者达到目的前检测到他们。
• 一旦攻击成功,越早发现越能减少损失。
• 为了能从攻击中恢复,需要了解发生了什么损失。
• 审核和入侵检测有助于确定是谁发起的攻击。
• 审核和入侵检测的结合使用有助于将信息进行关联,以识别攻击模式。
• 定期复查安全日志有助于发现未知的安全配置问题(如不正确的权限,或者不严格的帐户锁定设置)。
• 检测到攻击之后,审核有助于确定哪些网络资源受到了危害。
本模块讲述如何审核环境,以便发现攻击并跟踪攻击。本模块还讲述了如何监视是否发生了入侵,如何使用入侵检测系统(入侵检测系统是专门为发现攻击行为而设计的软件)。
返回页首
目标
使用本模块可以实现下列目标:
• 使用最佳做法在组织中进行审核。
• 保护要害日志文件,防止攻击者干预证据。
• 结合使用被动和主动的检测方法。
• 明确监督和监视员工要具备哪些工具和技术,以及如何在审核过程中使用这些工具和技术。
返回页首
适用范围
本模块适用于下列产品和技术:
• Microsoft® Windows 2000™ 操作系统
返回页首
如何使用本模块
使用本模块中的指南可启动监视体系,该体系将主动检测入侵和攻击。这样,您能在发生攻击时及早干预,并减少该事件的影响,降低组织受到严重损失的风险。
为了充分理解本模块内容,请:
• 阅读模块:对 Windows 2000 环境中发现的事件进行响应。
返回页首
审核
在任何安全环境中,您都应主动监视以检查是否发生了入侵和攻击。假如总假设不会受到攻击,只是将安全系统放在那里,随后不执行任何审核工作,您将无法达到预期目标。
作为整体安全策略的一部分,您应确定适于所在环境的审核级别。审核过程应识别可能会对网络,或风险评估中已确定的有价值资源造成威胁的各种攻击(无论攻击成功或失败)。
当决定要审核多少内容时,切记审核的内容越多,生成的事件越多,发现严重事件就越困难。假如要审核大量内容,有必要考虑使用附加的工具来帮助筛选重要事件,这样的工具有 Microsoft Operations Manager (MOM) 等。
审核事件可分为两类:成功事件和失败事件。成功事件表明用户已成功获得某资源的访问权限,失败事件表明用户进行了尝试,但失败了。
失败事件十分有助于跟踪对环境进行的攻击尝试,成功事件则难以解释。虽然绝大多数成功审核事件只表明正常的操作,但获取了某系统访问权限的攻击者也会生成一个成功事件。通常,事件模式与事件本身同样重要。例如,一系列失败后的一次成功可能表示曾经的攻击尝试最终得到成功。
您应尽可能将审核事件与所拥有的相关用户的其他信息结合使用。例如,假如用户在休假,可选择用户不在时禁用其帐户,然后在重新启用帐户时再审核。
如何启用审核
使用组策略可在站点、域、组织单位 (OU) 或本地计算机级启用审核。审核策略位于:
计算机配置\Windows 设置\安全设置\本地策略\审核策略
通常情况下,应在 Microsoft Active Directory™ 目录服务层次的较高级实现审核,这有助于保持审核设置的一致性。Contoso 在“成员服务器”和“域控制器”OU 级都实现了审核。
相关动易Cms教程:
- MAC错误的解决方法
- 如何屏蔽动易后台导航里的某个功能菜单?
- 动易.NET版本留言自动选定栏目方法
- 动易SiteFactoty整合Discuz!NT3.0
- 在任意位置获取根节点ID标签
- 如何开启SiteWeaver6.8的支持,反对功能
- Windows 2008安装动易.NET系统之四----动易系统安装篇
- Windows 2008安装动易.NET系统之三----数据库篇
- Windows 2008安装动易.NET系统之二----IIS、目录环境配置篇
- 数据库修复,SQL Server 2005内部操作不一致的处理
- 如何安装动易.net程序权限配置
- 为什么提示对Windows系统文件夹下的Temp目录没有访问权限?
- 相关链接:
- 教程说明:
动易Cms教程-Windows 2000 审核和入侵检测
。