过期罐头电脑论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 3829|回复: 0
收起左侧

浅谈Windows7 文件访问审计谋 略

[复制链接]
bigdeals 2011-1-22 16:50:38 | 显示全部楼层
在审计文件访问策略中,可以依据 需要. 选择多种安全审计谋 略,即可以告诉操作系统,在发作 哪些操作时将访问的信息记入到安全日志中,包括访问人员、访问者的电脑、访问时间、进行了什么操作等等。假如 将全部的访问操作都记录在日志中,那么日志的容量会变得很大,反而不易于后许的维护与管理。为此系统管理员在设置审计文件访问策略时,常常 需要. 选择一些特定的事情 ,以减少安全访问日志的容量。为了到达 这个目的,下面的一些建议各位系统管理员可以参考一下。
一、最少访问操作原则
在Win7中,将这个访问操作分为很细,如修改权限、更改一切 者等等十多种访问操作。虽然系统管理员需要. 花一定的时间去考虑该选择哪些操作或者进行相关的设置,但是对于系统管理员来说这依然 是一个福音。权限细分意味着管理员选择特定的访问操作之后,就可以得到最少的审核记录。简单的说,“产生的审核记录最少而且可以涵盖用户的安全需求”这个目的 更容易实现。由于 在实际工作中,常常 只需要. 对特定的操作进行审计即可。如只对用户更改文件内容或者访问文件等少部分操作进行审计即可。而不需要. 对全部操作进行审计。如此产生的审计记录就会少的多,同时用户的安全需求也得以实现。
二、失败操作优先选择
对于任何的操作,系统都分为成功与失败两种状况 。在大部分状况 下,为了搜集 用户非法访问的信息,只需要. 让系统记入失败事情 即可。如某个用户,其只可以 只读访问某个共享文件。此时管理员就可以给这个文件设置一个安全访问策略。当用户尝试更改这个文件时将这个信息记入下来。而对于其他的操作,如正常访问时则不会记录相关的信息。这也可以大幅度的减少安全审计记录。所以笔者建议,一般状况 下只需 启用失败事情 即可。在其不可以 满足需求的状况 下,才考虑同时启用成功事情 记录。此时一些合法用户合法访问文件的信息也会被记录下来,此时需要. 注意的是,安全日志中的内容可能会成倍的增加。在win7操作系统中可以通过刷选的方式来过滤日志的内容,如可以按“失败事情 ”,让系统只列出那些失败的记录,以减少系统管理员的阅读量。
三、如何应用 蜜糖策略搜集 非法访问者的信息?
在实际工作中,系统管理员还可以采用一些“蜜糖策略”来搜集 非法访问者的信息。什么叫做蜜糖策略(蜜罐策略)呢?其实就是在网络上放点蜜糖,吸引一些想偷蜜的蜜蜂,并将他们的信息记录下来。如可以在网络的共享文件上,设置一些看似比较重要的文件。然后在这些文件上设置审计访问策略。如此,就可以成功地搜集 那些不怀好意的非法入侵者。不过这守纪起来的信息,常常 不可以 作为证据使用。而只可以 作为一种访问的措施。即系统管理员可以通过这种手段来判别 企业网络中是否存在着一些“不安分子”,老是试图访问一些未经受权 的文件,或者对某些文件进行越权操作,如恶意更改或者删除文件等等。知己知彼,才可以 购战无不胜 。搜集 了这些信息之后,系统管理员才可以采取对应的措施。如增强 对这个用户的监控,或者检查一下这个用户的主机是否已经成为了他人 的肉鸡等等。总之系统管理员可以应用 这种机制来成功辨认 内部或者外部的非法访问者,以避免 他们做出愈加 严重的毁坏 。
四、 注意文件替换并不会影响原有的审计访问策略
例如:有一个叫做捕获的图片文件,为其设置了文件级别的安全审计访问,没有在其文件夹“新建文件夹”上设置任何的安全审计访问策略。此时,笔者假如 将某个相同的文件(文件名相同且没有设置任何的安全审计访问策略)复制到这个文件夹中,把原先的文件掩盖 掉。注意此时将这个没有设置任何的安全审计访问策略。文件复制过去之后,由于 同名会将原先的文件掩盖 掉。但是,此时这个安全审计访问策略的话就转移到新复制过去的那个文件上了。换句话说,现在新的文件有了原来掩盖 掉的那个文件的安全审计访问权限。这是一个很奇异 的现象,笔者也是在无意之中发现。不知道这是win7操作系统的一个漏洞呢,还是其成心 这么设置的?这有待微软操作系统的开发者来解释了。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

一键重装系统|雨人系统下载|联系我们|网站地图|过期罐头电脑论坛

GMT+8, 2024-11-23 21:02 , Processed in 0.049491 second(s), 26 queries .

官方免责声明:本站内容来自网友和互联网.若侵犯到您的版权.请致信联系,我们将第一时间删除相关内容!

Powered by Discuz!

专注于win7_win10_win11系统下载装机

© 2010-2023 GQGTPC.Com

快速回复 返回顶部 返回列表