注重：防止對(duì)事件日志進(jìn)行來(lái)賓訪問(wèn)只能限制非域成員訪問(wèn)這些事件日志。在默認(rèn)情況下，域中的所有用戶都可訪問(wèn)系統(tǒng)日志和應(yīng)用程序日志。只有安全日志的訪問(wèn)受到限制。指定了“Manage auditing and security log”（治理審核和安全日志）用戶權(quán)限的安全主要對(duì)象可訪問(wèn)安全日志。在默認(rèn)情況下，此用戶權(quán)限只分配給治理員和 Exchange 企業(yè)服務(wù)器。

其他最佳審核方法
除了配置審核之外，還應(yīng)實(shí)現(xiàn)一些其他方法，從而有效審核服務(wù)器環(huán)境的安全性。這些方法包括：

• 安排定期復(fù)查事件日志。

• 復(fù)查其他應(yīng)用程序日志文件。

• 監(jiān)視安裝的服務(wù)和驅(qū)動(dòng)程序。

• 監(jiān)視打開的端口。


安排定期復(fù)查事件日志

正如上面提到的，安全日志及可能生成的其他事件日志應(yīng)寫入可移動(dòng)材料中，或合并到一個(gè)中心位置以便于進(jìn)行復(fù)查。復(fù)查這些日志經(jīng)常被人們遺漏。

Contoso 已完成了大量的工作，確保有一人或一個(gè)部門負(fù)責(zé)將復(fù)查事件日志作為定期的任務(wù)來(lái)執(zhí)行。這樣的事件日志復(fù)查可安排為天天一次，也可安排為每周一次，具體取決于安全日志中收集的數(shù)據(jù)數(shù)量。通常，這根據(jù)網(wǎng)絡(luò)中實(shí)現(xiàn)的審核級(jí)別而定。審核中包括的事件越多，日志項(xiàng)的數(shù)量就越多。假如安排了定期的事件日志復(fù)查，則有助于達(dá)到以下目標(biāo)：

• 更快檢測(cè)安全問(wèn)題
假如天天執(zhí)行一次事件日志的復(fù)查，安全事件的保留時(shí)間永遠(yuǎn)不會(huì)超過(guò) 24 小時(shí)。這使檢測(cè)和修復(fù)安全漏洞的速度變得更快。

• 定義責(zé)任
假如要定期復(fù)查事件日志，則安排了復(fù)查日志文件任務(wù)的人員可最終負(fù)責(zé)識(shí)別潛在的攻擊。

• 降低事件被覆蓋或服務(wù)器宕機(jī)的危險(xiǎn)
一旦復(fù)查了事件日志，便可對(duì)日志文件中的事件進(jìn)行存檔以便將來(lái)復(fù)查，并從當(dāng)前事件日志中刪除。這種做法會(huì)降低事件日志填滿的危險(xiǎn)。


復(fù)查其他應(yīng)用程序日志文件

除了復(fù)查安全事件的 Windows 2000 事件日志之外，還應(yīng)復(fù)查應(yīng)用程序生成的日志。這些應(yīng)用程序日志可能包括一些有關(guān)潛在攻擊的有價(jià)值的信息，可以對(duì)事件日志中的信息進(jìn)行補(bǔ)充。根據(jù)環(huán)境的具體情況，可能需要查看一個(gè)或多個(gè)下面的日志文件：

• Internet 信息服務(wù) (IIS)
IIS 會(huì)創(chuàng)建一些日志文件來(lái)跟蹤 Web、文件傳輸協(xié)議 (FTP)、網(wǎng)絡(luò)時(shí)間協(xié)議 (NTP) 和簡(jiǎn)單郵件傳輸協(xié)議 (SMTP) 服務(wù)的連接嘗試。在 IIS 中運(yùn)行的每個(gè)服務(wù)都維護(hù)一個(gè)單獨(dú)的日志文件，這些日志文件會(huì)以萬(wàn)維網(wǎng)聯(lián)合會(huì) (W3C) 擴(kuò)展式日志文件格式保存在 %WinDir%\System32\Logfiles 文件夾中。每個(gè)服務(wù)都維護(hù)一個(gè)單獨(dú)的文件夾來(lái)進(jìn)一步細(xì)分日志信息。另外，可以配置 IIS 使其將日志保存到符合開放式數(shù)據(jù)庫(kù)連接性 (ODBC) 的數(shù)據(jù)庫(kù)中，如 Microsoft SQL Server™。

• Microsoft Internet Security and Acceleration (ISA) 服務(wù)器
ISA 服務(wù)器提供了數(shù)據(jù)包篩選器、ISA 服務(wù)器防火墻服務(wù)和 ISA 服務(wù)器 Web 代理服務(wù)的日志。與 IIS 一樣，在默認(rèn)情況下，這些日志以 W3C 擴(kuò)展式日志文件格式保存，但也可記錄到符合 ODBC 的數(shù)據(jù)庫(kù)中。在默認(rèn)情況下，ISA 服務(wù)器日志文件保存在 C:\Program Files\Microsoft ISA Server\ISALogs 文件夾中。

• Internet 驗(yàn)證服務(wù) (IAS)
IAS 使用遠(yuǎn)程驗(yàn)證撥號(hào)用戶服務(wù) (RADIUS) 協(xié)議為遠(yuǎn)程訪問(wèn)驗(yàn)證提供集中的驗(yàn)證和記帳。在默認(rèn)情況下，記帳請(qǐng)求、身份驗(yàn)證請(qǐng)求和定期的狀態(tài)請(qǐng)求會(huì)記錄到位于 %WinDir%\System32\Logfiles 文件夾中的 IASlog.log 文件中。另外，日志文件可按兼容數(shù)據(jù)庫(kù)的文件格式保存，而不是按 IAS 格式保存。

• 第三方應(yīng)用程序
目前有若干第三方應(yīng)用程序都會(huì)實(shí)現(xiàn)本地記錄功能，并提供有關(guān)該應(yīng)用程序的具體信息。有關(guān)具體信息，請(qǐng)參考應(yīng)用程序?qū)�屬的幫助文件�?

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板