Windows 2000 审核和入侵检测(2)_动易Cms教程

您可选择将一些服务器与域分隔。通过编辑本地计算机的组策略，或使用“Windows 2000 Server Resource Kit”中的 Auditpol.exe 实用程序，可在这些计算机上配置审核。

注重：要访问本地计算机的组策略，请启动 Microsoft 治理控制台 (MMC)，然后添加该组策略治理单元，这将使该本地计算机成为治理单元的焦点。

定义事件日志设置
审核所生成的每个事件都显示在“事件查看器”中。您应决定事件日志如何存储生成的事件。每个这样的设置都可直接在“事件查看器”中定义，或在组策略中定义。在本指南中，我们已在组策略中定义了“事件查看器”设置。

假如从组策略中删除“事件查看器”设置，则可在“事件查看器”中直接进行设置。但建议您在组策略中定义“事件查看器”设置，确保所有相似计算机中的设置一致。

在 Contoso 环境中，组策略的配置不是在安全日志达到容量时关闭组织中的系统。实际的系统配置是，根据需要覆盖事件日志。

要审核的事件
Microsoft Windows 2000 提供了几类安全事件的审核。当制定企业审核策略时，需决定是否包含如下类别的安全审核事件：

• 登录事件

• 帐户登录事件

• 对象访问事件

• 目录服务访问事件

• 特权使用事件

• 进程跟踪事件

• 系统事件

• 策略更改事件


下面几节具体说明了特定类别在启用审核时返回的常见事件 ID。

注重：负责搜索和收集事件日志信息的工具将在本模块后的被动检测方法一节讨论。

登录事件
假如要审核登录事件（每次用户登录或注销计算机时都审核），则会在发生登录尝试的计算机的安全日志中生成一个事件。另外，当用户连接远程服务器时，远程服务器的安全日志中也会生成一个登录事件。登录事件是在登录会话和令牌分别被创建或损坏时创建的。

登录事件可用于跟踪服务器的交互式登录尝试，或调查从某特定计算机发起的攻击。成功的审核会在登录尝试成功时生成一个审核项。失败的审核会在登录尝试失败时生成一个审核项。

注重：登录事件既包括计算机登录事件，也包括用户登录事件。假如网络连接是从基于 Microsoft Windows NT® 的计算机或基于 Windows 2000 的计算机进行尝试的，则会看到用于计算机帐户和用户帐户的单独事件日志项。基于 Windows 9x 的计算机在目录中没有计算机帐户，不会为网络登录事件生成计算机登录事件项。

作为“成员服务器和域控制器基准策略”的一部分，应对成功和失败登录事件都启用审核。因此，应能在“安全事件日志”中看到交互式登录，以及连接到正在运行“终端服务”的计算机的“终端服务”登录的下列事件 ID。

表 1：安全事件日志中的登录事件

事件 ID 说明
528
用户成功登录计算机。

529
用户使用系统未知的用户名登录，或已知用户使用错误的密码登录。

530
用户帐户在许可的时间范围外登录。

531
用户使用已禁用的帐户登录。

532
用户使用过期帐户登录。

533
不答应用户登录计算机。

534
用户使用不许可的登录类型（如网络、交互、批量、服务或远程交互）进行登录。

535
指定帐户的密码已过期。

536
Net Logon 服务未处于活动状态。

537
登录由于其他原因而失败。

538
用户注销。

539
试图登录时帐户已被锁定。此事件表示密码攻击失败，并导致该帐户被锁定。

540
网络登录成功。此事件表示远程用户已成功从该网络连接到服务器上的本地资源，同时为该网络用户生成了一个令牌。

682
用户重新连接了已断开的终端服务会话。此事件表示前面已连接了一个终端服务会话。

查看更多 动易Cms教程  动易Cms模板