Windows 2000 审核和入侵检测(4)_动易Cms教程

Contoso 当前要监视数量巨大的失败域登录尝试。根据其环境的不同，其他一些事件无关紧要。配置这些设置时，他们确定的最好方法是，首先以一个相对较严格的设置开始，然后持续减少它的严格程度，直到一些非实质警告的数量减少。目前，他们监视的是 10 分钟时间段中发生 10 次失败登录的所有情况。这些数字在所有环境中可能都是不同的。

帐户治理
帐户治理审核用于确定何时创建、更改或删除了用户或组。这种审核可用于确定何时创建了安全主要对象，以及谁执行了该任务。

作为“成员服务器和域控制器基准策略”的一部分，帐户治理中的成功和失败都应启用审核。因此，应该会看到安全日志中记录的下列事件 ID。

表 3：事件日志中的帐户治理事件

事件 ID 说明
624
创建了用户帐户

625
用户帐户类型更改

626
启用了用户帐户

627
尝试进行了密码更改

628
设置了用户帐户密码。

629
禁用了用户帐户

630
删除了用户帐户

631
创建了启用安全的全局组

632
添加了启用安全的全局组成员

633
删除了启用安全的全局组成员

634
删除了启用安全的全局组

635
创建了禁用安全的本地组

636
添加了启用安全的本地组成员

637
删除了启用安全的本地组成员

638
删除了启用安全的本地组

639
更改了启用安全的本地组

641
更改了启用安全的全局组

642
更改了用户帐户

643
更改了域策略

644
锁定了用户帐户


使用安全日志项可诊断下面的帐户治理事件：

• 用户帐户的创建
事件 ID 624 和 626 表明何时创建和启用了用户帐户。假如帐户创建限定在组织中的特定个人，则可使用这些事件表示是否有未授权的个人创建了用户帐户。

• 更改了用户帐户密码
假如不是该用户修改密码，可能表明该帐户已被另一用户占用。请查看事件 ID 627 和 628，它们分别表明尝试进行了密码更改以及密码更改成功。请查看具体信息，确定是否是另一个帐户执行了该更改，该帐户是否是重置用户帐户密码的技术支持部门或其他服务部门的成员。

• 更改了用户帐户状态
某个攻击者在攻击过程中，可能会通过禁用或删除帐户来尝试掩盖攻击。出现的所有事件 ID 629 和 630 都应仔细研究，确保这些是授权的事务处理。另外，还要查看发生事件 ID 626 之后短时间内发生的事件 ID 629。这可能表明一个已禁用的帐户被启用，被使用，然后又再次被禁用。

• 安全组的修改
成员身份更改为 Domain Administrator、 Administrator、Operator 组的任何成员，或更改为被委派了治理功能的自定义全局组、通用组或域本地组，这些情况都应进行复查。对于全局组成员身份修改，请查找事件 ID 632 和 633。对于域本地组成员身份修改，请查看事件 ID 636 和 637。

• 帐户锁定
锁定帐户时，系统会在主域控制器 (PDC) 模拟器操作主机上记录两个事件。一个事件为 644，表示帐户名已被锁定；然后记录事件 642，表示该用户帐户已更改为表明帐户现已锁定。此事件只会记录在 PDC 模拟器上。


因为 Contoso 是一个较大的企业，所以天天有大量的帐户要维护。监视所有这些事件会导致环境中产生太多的警告，而这些警告不必全部进行合理的解决。

对象访问
在基于 Windows 2000 的网络中，使用系统访问控制列表 (SACL) 可为所有对象启用审核。SACL 包含了一个用户和组列表，其中用户和组等对象的操作都要进行审核。用户在 Windows 2000 中可操作的每个对象几乎都有一个 SACL。这些对象包括 NTFS 文件系统驱动器上的文件和文件夹、打印机和注册表项。

查看更多 动易Cms教程  动易Cms模板