|
Windows Server 2008 是專為強化當時網(wǎng)絡(luò)���、應(yīng)用程序和Web服務(wù)的功能而設(shè)計�,是那時有史以來最先進的 Windows Server 操作系統(tǒng)���。擁有 Windows Server 2008���,您即可在企業(yè)中開發(fā)�����、提供和管理豐富的用戶體驗及應(yīng)用程序,提供高度安全的網(wǎng)絡(luò)基礎(chǔ)架構(gòu),提高和增加技術(shù)效率與價值。
有在使用windows 2008系統(tǒng)的用戶都會知道�,windows2008有著超強的系統(tǒng)安全和較高的智能化程度及顯著的安全性能�,如果用戶能夠巧妙的來運用�,就能更好的來玩轉(zhuǎn)windows2008系統(tǒng)了。現(xiàn)在就讓我們先來了解一下windows2008系統(tǒng)下審核功能的妙用吧。
啟用配置審核功能
Windows Server 2008系統(tǒng)的審核功能在默認狀態(tài)下并沒有啟用���,我們必須針對特定系統(tǒng)事件來啟用、配置它們的審核功能,這樣一來該功能才會對相同類型的系統(tǒng)事件進行監(jiān)視�����、記錄�����,網(wǎng)絡(luò)管理員日后只要打開對應(yīng)系統(tǒng)的日志記錄就能查看到審核功能的監(jiān)視結(jié)果了�。審核功能的應(yīng)用范圍很廣泛�����,不但可以對服務(wù)器系統(tǒng)中的一些操作行為進行跟蹤�、監(jiān)視�����,而且還能依照服務(wù)器系統(tǒng)的運行狀態(tài)對運行故障進行快速排除�。當然���,需要提醒各位朋友的是�����,審核功能的啟用往往要消耗服務(wù)器系統(tǒng)的一些寶貴資源,并會造成服務(wù)器系統(tǒng)的運行性能下降�����,這是因為Windows Server 2008系統(tǒng)必須騰出一部分空間資源來保存審核功能的監(jiān)視、記錄結(jié)果�。為此���,在服務(wù)器系統(tǒng)空間資源有限的情況下�����,我們應(yīng)該謹慎使用審核功能,確保該功能只對一些特別重要的操作進行監(jiān)視、記錄。
在啟用、配置Windows Server 2008系統(tǒng)的審核功能時���,我們可以先以系統(tǒng)超級權(quán)限登錄進入對應(yīng)系統(tǒng),打開該系統(tǒng)桌面中的“開始”菜單,從中依次點選“設(shè)置”�����、“控制面板”命令�����,在彈出的系統(tǒng)控制面板窗口中依次單擊“系統(tǒng)和維護”�、“管理工具”圖標���,在其后出現(xiàn)的管理工具列表窗口中�����,找到“本地安全策略”圖標,并用鼠標雙擊該圖標���,打開本地安全策略控制臺窗口。
其次在目標控制臺窗口的左側(cè)顯示窗格中�����,依次展開“安全設(shè)置”/“本地策略”/“審核策略”分支選項�����,在對應(yīng)“審核策略”分支選項的右側(cè)顯示窗格中���,我們會發(fā)現(xiàn)Windows Server 2008系統(tǒng)包含九項審核策略�����,也就是說服務(wù)器系統(tǒng)可以允許對九大類操作進行跟蹤、記錄�,如圖1所示���。
圖1 本地安全策略
審核進程跟蹤策略�����,是專門用來對服務(wù)器系統(tǒng)的后臺程序運行狀態(tài)進行跟蹤記錄的,例如服務(wù)器系統(tǒng)后臺突然運行或關(guān)閉了什么程序�,handle句柄是否進行了文件復(fù)制或系統(tǒng)資源的訪問等操作���,審核功能都可以對它們進行跟蹤�、記錄���,并將監(jiān)視�����、記錄的內(nèi)容自動保存到對應(yīng)系統(tǒng)的日志文件中。
審核帳戶管理策略�����,是專門用來跟蹤�����、監(jiān)視服務(wù)器系統(tǒng)登錄賬號的修改�����、刪除�����、添加操作的,任何添加用戶賬號操作�、刪除用戶賬號操作�����、修改用戶賬號操作,都會被審核功能自動記錄下來�。
審核特權(quán)使用策略�����,是專門用來跟蹤、監(jiān)視用戶在服務(wù)器系統(tǒng)運行過程中執(zhí)行除注銷操作���、登錄操作以外的其他特權(quán)操作的�����,任何對服務(wù)器系統(tǒng)運行安全有影響的一些特權(quán)操作都會被審核功能記錄保存到系統(tǒng)的安全日志中���,網(wǎng)絡(luò)管理員根據(jù)日志內(nèi)容就容易找到影響服務(wù)器運行安全的一些蛛絲馬跡�。
啟用不同的審核策略�����,Windows Server 2008系統(tǒng)就會對不同類型的操作進行跟蹤�、記錄�����,網(wǎng)絡(luò)管理員應(yīng)該依照自己的安全要求以及服務(wù)器系統(tǒng)的性能配置���,來啟用適合自己的審核策略�,而不要盲目地啟用所有審核策略�,那樣一來審核功能的作用反而得不到充分發(fā)揮。
圖2 審核登陸事件屬性
比方說,要是我們想對服務(wù)器系統(tǒng)的登錄狀態(tài)進行跟蹤�、監(jiān)視�����,以便確認局域網(wǎng)中是否存在非法登錄行為時,那我們就可以直接用鼠標雙擊這里的審核登錄事件策略�����,打開對應(yīng)策略的選項設(shè)置對話框(如圖2所示)���,選中其中的“成功”和“失敗”選項���,再單擊“確定”按鈕���,如此一來Windows Server 2008系統(tǒng)日后就會自動對本地服務(wù)器系統(tǒng)的所有系統(tǒng)登錄操作進行跟蹤�、記錄�,無論是登錄服務(wù)器成功的操作還是登錄服務(wù)器失敗的操作,我們都能通過事件查看器找到對應(yīng)的操作記錄�,仔細分析這些登錄操作的記錄我們就能發(fā)現(xiàn)本地服務(wù)器中是否真的存在非法登錄甚至非法入侵行為���。
查看審核功能記錄
啟用�����、配置好合適的審核策略后,Windows Server 2008系統(tǒng)就會自動對特定類型的操作進行跟蹤�����、記錄,并將記錄內(nèi)容保存到對應(yīng)系統(tǒng)的日志文件中了�����,以后網(wǎng)絡(luò)管理員可以根據(jù)日志內(nèi)容�����,尋找服務(wù)器系統(tǒng)中是否存在安全威脅�����。在查看審核功能記錄下來的日志內(nèi)容時,我們必須借助事件查看器功能來完成,下面就是查看審核功能記錄的具體操作步驟:
首先以超級管理員權(quán)限進入Windows Server 2008系統(tǒng),依次單擊該系統(tǒng)桌面中的“開始”/“程序”/“管理工具”/“服務(wù)器管理器”命令�,打開對應(yīng)系統(tǒng)的服務(wù)器管理器控制臺窗口�����;
其次在該控制臺窗口的左側(cè)顯示區(qū)域中���,將鼠標定位于“診斷”分支選項�����,并從該分支選項下面依次點選“事件查看器”/“Windows日志”子項�����,在目標子項下面我們會看到“應(yīng)用程序”、“安全”�、“安裝程序”�、“系統(tǒng)”�、“轉(zhuǎn)發(fā)事件”這五個類別的事件記錄,如圖3所示���;
圖3 服務(wù)器管理器
更堅實、更可靠的機器根基更穩(wěn)固���!您的服務(wù)器從此勇往直前。
| 
