本模塊內(nèi)容
要維護(hù)真正安全的環(huán)境，只是具備安全系統(tǒng)還遠(yuǎn)遠(yuǎn)不夠。假如總假設(shè)自己不會(huì)受到攻擊，或認(rèn)為防護(hù)措施已足以保護(hù)自己的安全，都將非常危險(xiǎn)。要維護(hù)系統(tǒng)安全，必須進(jìn)行主動(dòng)監(jiān)視，以檢查是否發(fā)生了入侵和攻擊。

很多方面都說明，監(jiān)視和審核入侵非常重要，具體原因有：

• 所有處于運(yùn)行中的計(jì)算機(jī)環(huán)境都有可能被攻擊。無論系統(tǒng)安全級(jí)有多高，總有面臨攻擊的風(fēng)險(xiǎn)。

• 成功的攻擊一般出現(xiàn)在一系列失敗攻擊后。假如不監(jiān)視攻擊，您將無法在入侵者達(dá)到目的前檢測(cè)到他們。

• 一旦攻擊成功，越早發(fā)現(xiàn)越能減少損失。

• 為了能從攻擊中恢復(fù)，需要了解發(fā)生了什么損失。

• 審核和入侵檢測(cè)有助于確定是誰發(fā)起的攻擊。

• 審核和入侵檢測(cè)的結(jié)合使用有助于將信息進(jìn)行關(guān)聯(lián)，以識(shí)別攻擊模式。

• 定期復(fù)查安全日志有助于發(fā)現(xiàn)未知的安全配置問題（如不正確的權(quán)限，或者不嚴(yán)格的帳戶鎖定設(shè)置）。

• 檢測(cè)到攻擊之后，審核有助于確定哪些網(wǎng)絡(luò)資源受到了危害。


本模塊講述如何審核環(huán)境，以便發(fā)現(xiàn)攻擊并跟蹤攻擊。本模塊還講述了如何監(jiān)視是否發(fā)生了入侵，如何使用入侵檢測(cè)系統(tǒng)（入侵檢測(cè)系統(tǒng)是專門為發(fā)現(xiàn)攻擊行為而設(shè)計(jì)的軟件）。

返回頁首
目標(biāo)
使用本模塊可以實(shí)現(xiàn)下列目標(biāo)：

• 使用最佳做法在組織中進(jìn)行審核。

• 保護(hù)要害日志文件，防止攻擊者干預(yù)證據(jù)。

• 結(jié)合使用被動(dòng)和主動(dòng)的檢測(cè)方法。

• 明確監(jiān)督和監(jiān)視員工要具備哪些工具和技術(shù)，以及如何在審核過程中使用這些工具和技術(shù)。


返回頁首
適用范圍
本模塊適用于下列產(chǎn)品和技術(shù)：

• Microsoft® Windows 2000™ 操作系統(tǒng)


返回頁首
如何使用本模塊
使用本模塊中的指南可啟動(dòng)監(jiān)視體系，該體系將主動(dòng)檢測(cè)入侵和攻擊。這樣，您能在發(fā)生攻擊時(shí)及早干預(yù)，并減少該事件的影響，降低組織受到嚴(yán)重?fù)p失的風(fēng)險(xiǎn)。

為了充分理解本模塊內(nèi)容，請(qǐng)：

• 閱讀模塊：對(duì) Windows 2000 環(huán)境中發(fā)現(xiàn)的事件進(jìn)行響應(yīng)。


返回頁首
審核
在任何安全環(huán)境中，您都應(yīng)主動(dòng)監(jiān)視以檢查是否發(fā)生了入侵和攻擊。假如總假設(shè)不會(huì)受到攻擊，只是將安全系統(tǒng)放在那里，隨后不執(zhí)行任何審核工作，您將無法達(dá)到預(yù)期目標(biāo)。

作為整體安全策略的一部分，您應(yīng)確定適于所在環(huán)境的審核級(jí)別。審核過程應(yīng)識(shí)別可能會(huì)對(duì)網(wǎng)絡(luò)，或風(fēng)險(xiǎn)評(píng)估中已確定的有價(jià)值資源造成威脅的各種攻擊（無論攻擊成功或失�。�。

當(dāng)決定要審核多少內(nèi)容時(shí)，切記審核的內(nèi)容越多，生成的事件越多，發(fā)現(xiàn)嚴(yán)重事件就越困難。假如要審核大量?jī)?nèi)容，有必要考慮使用附加的工具來幫助篩選重要事件，這樣的工具有 Microsoft Operations Manager (MOM) 等。

審核事件可分為兩類：成功事件和失敗事件。成功事件表明用戶已成功獲得某資源的訪問權(quán)限，失敗事件表明用戶進(jìn)行了嘗試，但失敗了。

失敗事件十分有助于跟蹤對(duì)環(huán)境進(jìn)行的攻擊嘗試，成功事件則難以解釋。雖然絕大多數(shù)成功審核事件只表明正常的操作，但獲取了某系統(tǒng)訪問權(quán)限的攻擊者也會(huì)生成一個(gè)成功事件。通常，事件模式與事件本身同樣重要。例如，一系列失敗后的一次成功可能表示曾經(jīng)的攻擊嘗試最終得到成功。

您應(yīng)盡可能將審核事件與所擁有的相關(guān)用戶的其他信息結(jié)合使用。例如，假如用戶在休假，可選擇用戶不在時(shí)禁用其帳戶，然后在重新啟用帳戶時(shí)再審核。

如何啟用審核
使用組策略可在站點(diǎn)、域、組織單位 (OU) 或本地計(jì)算機(jī)級(jí)啟用審核。審核策略位于：

計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\本地策略\審核策略

通常情況下，應(yīng)在 Microsoft Active Directory™ 目錄服務(wù)層次的較高級(jí)實(shí)現(xiàn)審核，這有助于保持審核設(shè)置的一致性。Contoso 在“成員服務(wù)器”和“域控制器”O(jiān)U 級(jí)都實(shí)現(xiàn)了審核。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板