Windows 2000 审核和入侵检测(5)_动易Cms教程

SACL 由访问控制项 (ACE) 组成。每个 ACE 包含三部分信息：

• 要审核的安全主要对象。

• 要审核的特定访问类型，称为访问掩码。

• 一种表明是审核失败访问、成功访问还是两者兼有的标志。


假如要在安全日志中显示事件，必须首先启用“对象访问审核”，然后为要审核的每个对象定义 SACL。

Windows 2000 中的审核是在打开一个到对象的句柄时生成的。Windows 2000 使用一个内核模式的安全子系统，这种系统只答应程序通过内核访问对象。这会防止程序尝试绕过安全系统。因为内核内存空间是与用户模式程序相隔离的，所以程序是通过一个称为句柄的数据结构引用对象的。下面是一个典型的访问尝试：

1.
用户要求程序访问某个对象（例如，文件/打开）。

2.
该程序从系统请求一个句柄，指定需要哪种类型的访问（读、写等）。

3.
安全子系统将请求对象的自由访问控制列表 (DACL) 与该用户的令牌相比较，在 DACL 中查找与该用户或用户所在组相匹配的项，以及对于请求程序有访问权限的项。

4.
系统将所请求对象的 SACL 与该用户的令牌相比较，在 SACL 中查找与该程序返回的有效权限相匹配的项，或与该程序请求的权限相匹配的项。假如匹配的失败审核 ACE 与一个已请求但未授予的访问相匹配，则生成一个失败审核事件。假如匹配的成功审核 ACE 与一个已授予的访问相匹配，则生成一个成功审核事件。

5.
假如授予任何访问，系统都会向该程序返回一个句柄，然后该程序会使用该句柄访问该对象。


要注重的重要一点是，当发生审核并生成事件时，尚未对该对象发生任何操作。这对于解释审核事件至关重要。写入审核是在文件被写入之前生成的，读取审核则在文件被读取之前生成。

与所有审核一样，务必采取一个针对目标的方式来审核对象访问。在审核计划中，应决定必须审核的对象类型，然后确定每种类型的审核对象，希望监视哪些类型的访问尝试（成功、失败，还是两者兼有）。审核的范围过宽会对系统性能产生明显的影响，并会使收集的数据过多，远远超过必要或有用的程度。

通常情况下，您希望审核对所选择对象的所有访问，其中包括来自非信任帐户的访问。为此，请在审核对象的 SACL 中添加“Everyone”组）。您应了解，假如按照这种方式审核成功的对象访问，可能会在安全日志中产生非常多的审核项。然而，假如要对重要文件的删除进行调查，则必须检查成功审核事件，以确定哪个用户帐户删除了该文件。

“成员服务器和域控制器基准策略”的设置是既审核成功对象访问也审核失败事件。但是，这些对象本身不会设置任何 SACL，需要根据环境的需要设置这些内容。SACL 可以直接在对象上定义，也可以通过组策略定义。假如要审核的对象存在于多个计算机上，则应在组策略中定义这些 SACL。

审核对象访问会导致安全日志显示下列事件。

表 4：事件日志中的对象访问事件

事件 ID 说明
560
授予现有对象访问权限。

562
对象句柄关闭。

563
为删除对象而打开对象。（这是文件系统在指定了 FILE_DELETE_ON_CLOSE 标志时所使用的。）

564
删除了一个受保护的对象。

565
授予现有对象类型访问权限。


假如要查找特定的对象访问事件，主要需研究事件 ID 为 560 的事件。该事件具体信息中有一些有用的信息，请搜索该事件的具体信息，找出正在搜索的特定事件。下表显示了一些可能要执行的操作，以及如何执行这些操作。

表 5：如何执行对象访问事件 560 的主要审核操作

审核操作 如何完成
查找特定的文件、文件夹或对象
在事件 560 的具体信息中，搜索要复查其上操作的文件或文件夹的完整路径。

查看更多 动易Cms教程  动易Cms模板