Windows 2000 审核和入侵检测(9)_动易Cms教程

• 从远程系统强制关机
请在事件具体信息中查找用户权限为 SeRemoteShutdownPrivilege 的事件。

• 提高日程安排优先级
请在事件具体信息中查找用户权限为 SeIncreaseBasePriorityPrivilege 的事件。具有此权限的用户可以修改进程优先级。

• 加载和卸载设备驱动程序
请在事件具体信息中查找用户权限为 SeLoadDriverPrivilege 的事件。具有此用户权限的用户可以加载特洛伊木马版本的设备驱动程序。

• 治理审核和安全日志
请在事件具体信息中查找用户权限为 SeSecurityPrivilege 的事件。具有此用户权限的用户可以查看和清除安全日志。

• 替换进程级令牌
请在事件具体信息中查找用户权限为 SeAssignPrimaryTokenPrivilege 的事件。具有此用户权限的用户可以更改与一个已启动子进程相关联的默认令牌。

• 还原文件和目录
请在事件具体信息中查找用户权限为 SeRestorePrivilege 的事件。

• 关闭系统
请在事件具体信息中查找用户权限为 SeShutdownPrivilege 的事件。具有此用户权限的用户可以关闭系统以开始新设备驱动程序的安装。

• 获取文件或其他对象的所有权
请在事件具体信息中查找用户权限为 SeTakeOwnershipPrivilege 的事件。具有此用户权限的用户可以通过获取 NTFS 文件系统磁盘上的对象或文件的所有权，来访问这些对象或文件。


注重：这些审核事件只是表示该用户权限分配到了某个特定的安全主要对象。它并不表示该安全主要对象使用该用户权限执行了任务。审核事件却可以确定何时修改了用户权限策略。

Contoso 要监视所有策略更改事件。这些事件可用于进行任何故障排除或事件响应。

监视组策略的更改可能非常困难，并会提供大量的非实质性警告。这主要是因为，用于编辑组策略的 MMC 治理单元 gpedit.msc 总是既带有读取权限又带有写入权限打开策略。即使没有对策略进行更改，也会向域控制器的安全日志写入策略事件 578，如下所示。

组策略治理控制台（在 Windows Server 2003 发布后不久以免费下载软件形式发布）答应授权用户无需在 gpedit.msc 中打开组策略设置即查看这些设置，从而帮助客服这些问题。有关组策略治理控制台的具体信息，请参考：http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx（英文）。

保护事件日志
要确保维护事件日志项以便将来参考，应采取一些步骤来保护事件日志的安全。这些步骤包括：

• 为所有事件日志的存储、覆盖和维护定义一个策略。该策略应定义所有必需的事件日志设置，并由组策略强制执行。

• 确保该策略包括如何处理已满的事件日志，尤其是安全日志。建议安全日志填满时必需关闭服务器。这对于某些环境可能不可行，但确实应考虑。

• 通过启用安全策略设置来防止本地来宾访问系统日志、应用程序日志和安全日志，防止对事件日志进行来宾访问。

• 确保既审核成功系统事件又审核失败系统事件，以确定是否存在任何想擦除安全日志内容的尝试。

• 强制有能力查看或修改审核设置的所有安全主要对象使用复杂的密码或双因素身份验证（如智能卡登录），防止针对这些帐户进行攻击来获取对于审核信息的访问。


Contoso 在“成员服务器和域控制器组策略对象”中实现了这些设置。

除了上述步骤之外，您还应采取一些可行的措施，以确保事件日志信息尽可能最安全：

• 确保安全计划包括所有服务器的物理安全性，防止攻击者获取对于在其中执行审核的计算机的物理访问。攻击者可能会通过修改或删除本地磁盘子系统上的物理 *.evt 文件，来删除审核项。

• 请实现一种方法，以删除与该物理服务器不同位置中的事件日志，或将这些事件日志存储在与该物理服务器不同的位置中。这可能包括使用“任务计划”将事件日志写入 CD-R 或者一次写入定期读取的很多媒体中，或写入与该服务器不同的其他网络位置中。假如这些备份被复制到外部媒体（如备份磁带或者 CD-R 媒体），则在发生火灾或其他自然灾难时，该媒体应能从所处位置取出。

查看更多 动易Cms教程  动易Cms模板