1、第5章 Windows系统资源的安全保护 目的要求目的要求o掌握资源共享的实现方法以及共享资源的安全设置。o掌握设置打印机的方法。o了解注册表基础知识,初步掌握通过注册表的设置提高系统安全的方法。o了解安全审核基础知识,初步掌握审核策略的设置和安全日志的分析方法。5.1 文件系统和共享资源的安全设置 5.1.1 Windows中的常用文件系统5.1.2 EFS加密原理5.1.3资源共享5.1.4资源访问权限的控制 5.1 文件系统和共享资源的安全设置o文件系统n操作系统用于明确磁盘或分区上存储文件的方法和数据结构,即在磁盘上组织文件的方法。n从系统角度来看,文件系统是对文件存储器空间进行组织和
2、分配,负责文件存储并对存入的文件进行保护和检索的系统。n具体地说,它负责为用户建立、存入、读出、修改文件以及撤销文件等。5.1 文件系统和共享资源的安全设置o文件系统n新的硬盘上并没有文件系统,必须使用分区工具对其进行分区并格式化后才会有管理文件的系统。n一块硬盘就像一个块空地,文件就像不同的物资,我们首先得在空地上建起仓库(分区),并且指定好(格式化)仓库对材料的管理规范(文件系统),这样才能将物资运进仓库保管。5.1.1 Windows中的常用文件系统o1.FAT16:nDOS、Windows 95都使用FAT16文件系统,现在常用的Windows 98/2000/XP等系统均支持FAT1
3、6文件系统。它最大可以管理大到2 GB的分区,但由于采用16位长的文件分配表(File Allocation Table)每个分区最多只能有65525个簇(“簇”是磁盘空间保存信息的基本单位),由于FAT16管理“簇”的能力有限,随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。并且随着计算机硬件和应用的不断提高,FAT16文件系统已不能很好地适应系统的要求。5.1.1 Windows中的常用文件系统o2.FAT32:随着大容量硬盘的出现,从Windows 98开始,FAT32开始流行。它是FAT16的增强版本,采用32位长的文件分配表来管理文件的存储。同FAT16
4、相比,FAT32主要具有以下特点:(1)管理“簇”的能力增强,支持的分区容量增大;(2)“簇”的尺寸变小,FAT32就比FAT16的存储效率要高很多,通常情况下可以提高15%。(3)FAT32文件系统可以重新定位根目录和使用FAT的备份副本,减少了计算机系统崩溃的可能性。5.1.1 Windows中的常用文件系统o3NTFS:Windows NT/2000/XP及以上系统支持NTFS文件系统。与FAT文件系统相比,NTFS功能更强大,适合更大的磁盘和分区,支持安全性,是更为完善和灵活的文件系统,它是建立在保护文件和目录数据基础上,同时照顾节省存储资源、减少磁盘占用量的一种先进的文件系统。相较于
5、FAT文件系统,NTFS具有以下这些重要的安全特性:(1)容错性;(2)权限控制;(3)支持EFS(Encrypting File System)加密;(4)支持文件压缩;(5)磁盘配额;(6)审核策略与安全日志5.1.2 EFS加密原理o1.EFS的加密和解密过程(1)文件被复制到临时文件。若复制过程中发生错误,则利用此文件进行恢复。(2)文件被一个随机产生的Key加密,这个Key叫作文件加密密钥(FEK),文件使用DESX对称加密算法进行加密。(3)数据加密区域(DDF)产生,这个区域包含了使用用户的公钥加密的FEK,FEK使用RSA非对称加密算法进行加密。(4)数据恢复区域(DRF)产生
6、,产生这个区域的目的是为了防止用户在特殊情况下发生无法对加密文件进行解密的情况,从而设置了恢复代理这一特殊用户,恢复代理在加密数据恢复策略(EDRP)中定义。DRF包含使用恢复代理的公钥加密的FEK。如果在EDRP列表中有多个恢复代理,则FEK必须用每个恢复代理的公钥进行加密。(5)包含加密数据、DDF及所有DRF的加密文件被写入磁盘。(6)在第(1)步中创建的临时文件被删除。5.1.2 EFS加密原理o1.EFS的加密和解密过程5.1.2 EFS加密原理o当用户解密文件时,EFS将执行以下操作:o(1)使用DDF和用户的私钥解密FEK。o(2)使用FEK解密文件。5.1.3资源共享 o创建共
7、享 n(1)简单文件共享 n(2)高级文件共享 5.1.3资源共享 o简单文件共享 n在要共享的文件夹上单击鼠标右键,选中“共享和安全”菜单项,点选“共享”标签项,然后勾选“在网络上共享这个文件夹”项,n如果允许网络上用户修改你的共享文件,还可以勾选“允许网络用户更改我的文件”项。5.1.3资源共享 o简单文件共享 n共享磁盘驱动器。n在驱动器盘符上单击鼠标右键,选中“共享和安全”菜单项,点选“共享”标签项,出现了一个安全提示,提示你注意驱动器共享后风险。如果你继续要共享的话,点击“共享驱动器根”链接,以下操作与文件夹共享操作一样。5.1.3资源共享 o简单文件共享 n开启GUEST帐户n依次
8、展开“控制面板管理工具计算机管理本地用户和组用户”选项,在右边的GUEST账号上单击鼠标右键,选中“属性”菜单项,然后祛除“账号已停用”选项即可。5.1.3资源共享 o简单文件共享 n更改设置本地安全策略n在启用了GUEST用户或本地相应账号的前提下,依次展开“控制面板管理工具本地安全策略用户权利指派”项,在“拒绝从网络访问这台计算机”的用户列表中,直接删除其中的GUEST账号即可,这样用户访问共享则不需任何密码,访问更加简捷明了,但是安全保障就比较差了 5.1.3资源共享 o简单文件共享 n更改设置本地安全策略5.1.3资源共享 o高级文件共享 n禁止简单文件共享 o任意打开一个文件夹,点击
9、菜单栏的“工具文件夹选项”,选中“查看”标签项,在高级设置里,去掉“使用简单文件共享(推荐)”5.1.3资源共享 o高级文件共享 n设置帐户n为不同权限的用户设置不同的帐户。添加新帐户的方法:依次展开“控制面板管理工具计算机管理系统工具本地用户和组用户”项,在右边的窗口中,单击鼠标右键选中“新用户“菜单项。5.1.3资源共享 o高级文件共享 n设置帐户n如果希望网络用户可以通过该帐户访问系统而不必要输入密码,也可以随时更改xp系统的安全策略:打开“控制面板管理工具本地安全策略本地策略安全选项”,双击“账户:使用空白密码的本地账户只允许进行控制台登录”选项,点选“已停用”项,最后确定完成。5.1
10、.3资源共享 o高级文件共享 n设置共享及共享权限n文件夹上单击鼠标左键,选中“共享和安全”项,此时,可以看到和“简单文件共享”相比,下面多了个“权限”按钮。5.1.3资源共享 o高级文件共享 n设置共享及共享权限n点击权限按钮,默认权限设置是网络上每个用户(EVERYONE)都拥有完全控制的权限。这样设置是不安全的,应把EVERYONE权限删除,添加指定账户的权限(如“JJ”),按“添加”,查找帐户名“JJ”,并确定,之后根据实际情况设置访问用户的权限:o读取权限,允许用户浏览或执行文件夹中的文件;o更改权限,允许用户改变文件内容或删除文件;o完全控制权限,允许用户完全访问共享文件夹。5.1
11、.3资源共享 o管理共享 n查看本地机器上已创建的共享文件夹o依次展开“控制面板管理工具计算机管理共享文件夹共享”项可以看到本机上开放了哪些共享。5.1.3资源共享 o管理共享 n查看局域网上已创建的共享文件夹o通过“网上邻居”来查看多台电脑的共享文件效率不高,可以尝试使用“LanDiscovery”软件来查看局域网上已创建的共享文件夹5.1.3资源共享 o管理共享 n查看局域网上已创建的共享文件夹o除此之外,还可以在“开始运行”窗口中输入“cmd”命令,在弹出的运行对话框中输入“net share”命令查看共享资源。5.1.3资源共享 o管理共享 n查看连接本机的用户o依次展开“控制面板管理
12、工具计算机管理共享文件夹会话”项可以看到连接本机的用户,在用户名上单击鼠标右键,选中“关闭会话”项,即可断开该用户连接。5.1.3资源共享 o管理共享 n查看连接本机的用户o还可以使用一款小巧软件“ShareWatch”查看局域网上的哪些用户正在访问本机开放的共享文档。安装该软件后,运行ShareWatch.exe就可以看到如图显示的本机共享目录,还可以看到访问该目录的局域网用户WJJ-ER。5.1.4资源访问权限的控制o系统默认的组和用户的权限n默认情况下,系统为用户分了6个组,并给每个组赋予不同的操作权限,依次为:o管理员组(Administrators):对计算机/域有不受限制的完全访问
13、权;o高权限用户组(Power Users):拥有大部分管理权限,但也有限制;o普通用户组(Users):用户无法对系统进行有意或无意的改动;o来宾用户组(Guests):来宾组和用户组有同等访问权,但来宾账户的限制更多;o备份操作组(Backup Operators):允许备份或还原系统文件;o文件复制组(Replicator):允许域中的文件复制5.1.4资源访问权限的控制o2NTFS权限n读取(Read)n写入(Write)n读取及运行(Read&Execute)n修改(Modify)n完全控制(Full Control)n列出文件夹目录(List Folder Contents,只用于
14、文件夹)5.1.4资源访问权限的控制o2NTFS权限nNTFS文件权限设置步骤如下:右键点选需要进行权限设置的文件夹或文件,选择“属性”,在弹出的对话框中,选择“安全”选项卡,为相对应的用户/组设置权限,也可以删除某个用户/组的访问权限,或者添加某个用户/组,为其设置相对应的权限,还可以点选“高级”,对权限做进一步的设置。5.1.4资源访问权限的控制o3文件/文件夹的共享权限n完全控制n更改n读取5.2 打印机的安全管理打印机的安全管理5.2.1打印服务器的安装5.2.2共享网络打印机5.2.3打印机权限的设置 5.2.1打印服务器的安装o将打印机连接至主机,通过主机的“控制面板”进入到“打印
15、机和传真”文件夹,在空白处单击鼠标右键,选择“添加打印机”命令,打开添加打印机向导窗口。选择“连接到此计算机的本地打印机”,并勾选“自动检测并安装即插即用的打印机”复选框;5.2.1打印服务器的安装o主机将会进行新打印机的检测,之后根据提示安装好打印机的驱动程序,此时在“打印机和传真”文件夹内便会出现该打印机的图标了;o在新安装的打印机图标上单击鼠标右键,选择“共享”命令,打开打印机的属性对话框,切换至“共享”选项卡,选择“共享这台打印机”,并在“共享名”输入框中填入需要共享的名称,例如“CompaqIJ”,单击“确定”按钮即可完成共享的设定;5.2.1打印服务器的安装o如果希望局域网内其他版
16、本的操作系统在使用共享打印机时不再需要费力地查找驱动程序,可以在主机上预先将这些不同版本操作系统所对应的驱动程序安装好,只要单击“其他驱动程序”按钮,选择相应的操作系统版本,单击“确定”后即可进行安装了。o为了让打印机共享顺畅,必须在打印服务器和客户机上都安装“网络文件和打印机的共享协议”。右击桌面上的“网上邻居”,选择“属性”命令,进入到“网络连接”文件夹,在“本地连接”图标上点击鼠标右键,选择“属性”命令,如果在“常规”选项卡的“此连接使用下列项目”列表中没有找到“Microsoft网络的文件和打印机共享”,则需要单击“安装”按钮,在弹出的对话框中选择“服务”,然后点击“添加”,在“选择网
17、络服务”窗口中选择“文件和打印机共享”,最后单击“确定”按钮即可完成。5.2.2共享网络打印机o单击“开始设置打印机和传真”,启动“添加打印机向导”,选择“网络打印机”选项。o在“指定打印机”页面中提供了几种添加网络打印机的方式。如果你不知道网络打印机的具体路径,则可以选择“浏览打印机”选择来查找局域网同一工作组内的打印服务器,再选择服务器上的打印机后,点击“确定”按钮;如果已经知道了打印机的网络路径,则可以使用访问网络资源的“通用命名规范”(UNC)格式输入共享打印机的网络路径,例如“jamescompaqIJ”(james是主机的用户名),最后点击“下一步”。5.2.2共享网络打印机o这时
18、系统将要你再次输入打印机名,完成后,单击“下一步”,接着按“完成”,如果主机设置了共享密码,这里就要求输入密码。最后我们可以看到在客户机的“打印机和传真”文件夹内已经出现了共享打印机的图标,至此网络共享打印机就在客户机上安装完成了。5.2.3打印机权限的设置o1.在服务器的“打印机和传真”文件夹中,用鼠标右键单击其中的共享打印机图标,从右键菜单中选择“属性”选项,在接着打开的共享打印机属性设置框中,切换“安全”选项卡。o2.在其后打开的选项设置页面中,将“名称”列表处的“everyone”选中,并将对应“权限”列表处的“打印”选择为“拒绝”,这样任何用户都不能随意访问共享打印机了。5.2.3打
19、印机权限的设置o3.接着再单击“添加”按钮,将可以使用共享打印机的合法账号导入到“组或用户名称”列表中,再将导入的合法账号选中,并将对应的打印权限选择为“允许”即可。o4.重复第三步即可将其他需要使用共享打印机的合法账号全部导入进来,并依次将它们的打印权限设置为“允许”,最后再单击“确定”按钮即可。5.3注册表的安全管理注册表的安全管理5.3.1管理和维护注册表5.3.2利用注册表优化设计Windows系统安全 5.3.1管理和维护注册表o1.维护注册表的目的 n Windows通过注册表中保存的一系列数据来控制操作系统及应用软件、硬件和用户的环境等。操作系统正常运行或响应处理各个应用程序请求
20、时,需要从注册表中获得相关的信息,离开了注册表中的各种信息,Windows 将无法正常工作。5.3.1管理和维护注册表o1.维护注册表的目的 n注册表是Windows系统的核心数据库,其中关系着系统中硬件与软件的设置。n注册表的安全也面临来自于各方的威胁,主要有:软件的结构越来越复杂,在安装过程中对注册表的修改越来越多;硬件之间的冲突有可能破坏注册表;计算机病毒恶意篡改注册表;其他人为因素损坏注册表,例如:非正常删除应用程序、驱动程序等。5.3.1管理和维护注册表o注册表被破坏后,会出现的现象有:n系统瘫痪或仅能以安全模式启动;n启动应用程序时,会出现“找不到xxx.dll”的出错信息、提示某
21、个文件丢失或不能定位的信息;n“开始”菜单中丢失菜单项或变为不可用;n显示“注册表损坏”的信息;n原来正常使用的硬件设备突然不能正常工作了等等。n这些都是因为软件、硬件、病毒、人为等原因造成,在维护注册表时,为了避免盲目的修改注册表,最稳妥的办法就是定期对注册表进行备份,这样即使注册表被损坏了,也可以使用备份的注册表文件进行恢复。5.3.1管理和维护注册表o2.注册表的结构与组成(以Windows XP为例)n通过Windows 注册表编辑器(regedit.exe)打开注册表,如图5.22所示,可以看到注册表编辑器窗口分为左、右两个窗格,在左边窗格中,采用了一种类似于目录的树状结构将所有的数
22、据组织在一起。注册表主要由根键、子键、键值项和键值4部分组成。5.3.1管理和维护注册表o根键:即注册表目录树中最底部的键。根键只能由Windows操作系统自动生成,用户无法自行创建,也无法对其进行修改。Windows XP注册表总共有5个根键可以存储信息。5.3.1管理和维护注册表o子键:根键下包含若干子键,每个子键下又可以包含若干子键。o键值项和键值:每个子键都有若干键值项,键值项包括键值名、键值类型、键值数据,键值是可以更改的。n键值名:不包括反斜杠的字符、数字、空格、的任意组合,同一键中不可有相同的名字。n数据类型:支持多种注册表数据类型,主要有二进制值、DWORD值、字符串值、多字符
23、串值和可扩充字符串等。如表5-2所示:5.3.1管理和维护注册表3.注册表的备份与恢复o注册表损坏后会带来严重后果,因此要及时做好注册表的备份工作,这样即使以后注册表被损坏,也可以通过后恢复注册表来保证系统的正常运行。通常来说,应该在如下时间备份注册表较为合适n在初次运行Windows系统之后备份注册表n在安装或者删除应用程序、驱动程序之前备份注册表n在使用系统设置工具修改配置之前备份注册表5.3.1管理和维护注册表(1)注册表的备份n在注册表编辑器中,自带有“导出”功能从而实现部分或全部注册表的备份。n具体方法为 单击“文件”下拉菜单单击“导出”项,在出现的“导出注册表文件”对话框中,选择注
24、册表文件的保存位置键并键入文件名,再单击“保存”按钮即可。此时,在对应的保存位置上,备份了一个扩展名为.reg的文本文件,该文件包含了导出部分注册表的全部内容。5.3.2利用注册表优化设计Windows系统安全1.让用户名不出现在登录框中 oWin9x以上的操作系统对用户登录的信息具有记忆功能,重启计算机时,会在用户名栏中发现之前用户的登录名,这个信息可能会被一些攻击者利用,给用户造成威胁,为此我们有必要隐藏上机用户登录的名字。o设置时,依次访问键值 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon 并在右边的窗口
25、中新建字符串DontDisplayLastUserName,把该值设置为1,即可。5.3.2利用注册表优化设计Windows系统安全2.抵御BackDoor的破坏 o目前,网上有许多流行的黑客程序,它们可以对整个计算机系统造成了极大的安全威胁,其中有一个名叫BackDoor的后门程序,专门拣系统的漏洞进行攻击。为防止这种程序对系统造成破坏,我们可以通过相应的设置来预防BackDoor对系统的破坏。o设置时,依次访问键值HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 若在右边窗口中如发现了“Notepad”键值项,将其删除,
26、这样就能达到预防BackDoor的目的了。5.3.2利用注册表优化设计Windows系统安全3.不允许使用“控制面板”o控制面板是Windows系统的控制中心,可以对设备属性,文件系统,安全口令等很多系统很关键的东西进行修改,可以根据需要禁用“控制面板”。o设置时,依次访问键值HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystem,并在其中新建DWORD值“NoDispCPL”,把值设置为“1”,即可。5.3.2利用注册表优化设计Windows系统安全4.让“文件系统”菜单在系统属性中消失o为了防止非法用户随
27、意篡改系统中的文件,我们可以把“系统属性”中“文件系统”的菜单隐藏起来。o设置时,依次访问键值HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesSystem,在右边窗口中新建一个DWORD串值“NoFileSysPage”,把该值设置为“1”,即可。5.3.2利用注册表优化设计Windows系统安全5.锁定桌面o桌面设置包括壁纸、图标以及快捷方式,一般都不希望他人随意修改桌面设置或随意删除快捷方式。修改注册表可以帮我们锁定桌面,这里“锁定”的含义是对他人的修改不做储存,不管别人怎么改,只要重新启动计算机,桌面设置仍然
28、不会发生变化。o设置时,依次访问键值HKEY_UsersSoftwareMicrosoftWindowsCurentVersionPolioiesExplores,并用鼠标双击“No Save Setting”,把该值从“0”改为“1”,即可。5.3.2利用注册表优化设计Windows系统安全6.禁用Regedit命令o修改注册表对于很多用户来说是很危险的,为了安全,可以禁止注册表编辑器regedit.exe运行。o设置时,依次访问键值HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPolicies,在左边窗口中如果发现Polic
29、ies下面没有System子键,则新建一个子键,取名“System”,然后在右边窗口新建一个DWORD串值“DisableRegistryTools”,把该值设置为“1”,即可。5.3.2利用注册表优化设计Windows系统安全7.禁止修改“开始”菜单o如果随意更改开始菜单中的内容,可能会影响用户正常打开程序,所以可以禁止修改“开始”菜单中的内容。设置时,依次访问键值HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplore,在右边窗口中新建一个DWORD串值“NoChangeStartMenu”,把该值设置为
30、“1”,即可。5.3.2利用注册表优化设计Windows系统安全8.让用户只能使用指定的程序o为防止用户非法运行或者修改程序,可以通过修改注册表来实现让用户只能使用指定的程序,从而保证系统的安全。o设置时,依次访问键值HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExplorer,在右边窗口中新建一个DWORD串值“RestrictRun“,把该值设为“1”。然后在RestrictRun的主键下分别添加名为“1”、“2”、“3”等字符串值,然后将“1”,“2”、“3”等字符串的值设置为我们允许用户使用的程序名。例
31、如将“1”、“2”、“3”分别设置为word.EXE、notepad.EXE、write.EXE,则用户只能使用word、记事本和写字板这三种指定的程序了。5.3.2利用注册表优化设计Windows系统安全9.禁用“任务栏属性”功能o任务栏属性功能,可以方便用户对开始菜单进行修改,可以修改Windows系统的很多属性和运行的程序,这是一件很危险的事情,所以有必要禁用“任务栏属性”功能。o设置时,依次访问键值HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer,在右边窗口新建一个DWORD串值“NoSetT
32、askBar”,设置该值为“1”,即可。5.3.2利用注册表优化设计Windows系统安全10.隐藏“网上邻居”o在局域网中,可以通过网上邻居来访问其他计算机上的共享资源,但有时网上邻居的使用会造成安全上的隐患,可以利用注册表来隐藏“网上邻居”。o设置时,依次访问键值HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer,在右边窗口中新建DWORD值“NoNetHood”,把该值设置为“1”,即可。5.4 审核策略和安全记录分析审核策略和安全记录分析o5.4.1审核策略简介o5.4.2审核策略的设置o5.
33、4.3安全记录分析 5.4.1审核策略简介oWindows 2000中的审核是跟踪计算机上用户活动和Windows 2000活动的过程,这些活动被称之为事件。这些事件被分别记录到六种日志中去,分别是应用程序日志、系统日志、安全日志、目录服务日志、文件复制日志和DNS服务器日志。前三种在所有的Windows 2000 和Windows NT 系统中都存在,而后三种则仅当安装了相应的服务才会提供。n应用服务日志:记录应用程序和系统产生的事件。任何厂商开发的应用程序都可以用审核系统将自己注册,并向应用程序日志中写入事件。n系统日志:记录Windows系统自身产生的事件,以及驱动程序等组件产生的事件。
34、n安全日志:记录关于安全的事件,其中包括与监视系统、用户和进程的活动相关的信息,以及关于启动失败等安全服务的信息。n目录服务日志:记录与目录服务相关的事件。n文件复制日志:记录与文件复制相关的事件,其中包括服务已启动或停止,或者服务已成功完成等信息。nDNS 服务日志:记录与域名系统相关的事件,包括DNS服务何时启动或停止,以及与DNS区域相关的任何错误信息。5.4.2审核策略的设置o1.Windows 2000的审核事件n登录事件n账户登录事件n账户管理n对象访问n系统事件n策略更改n目录服务访问n特权使用n进程跟踪5.4.2审核策略的设置o登录事件n如果对登录事件进行审核,那么每次用户在计
35、算机上登录或注销时,都会在进行了登录尝试的计算机的安全日志中生成一个事件。此外,在用户连接到远程服务器之后,也会在远程服务器的安全日志中生成一个登录事件。在创建或者销毁登录会话和令牌时也会分别创建登录事件。作为成员服务器和域控制器基本策略的组成部分,对成功和失败登录事件的审核默认启用。因此对于交互登录以及连接到运行“终端服务”的计算机的“终端服务”登录,可以看到表5-3所列举的事件ID。5.4.2审核策略的设置o(2)账户登录事件n在一个用户登录到域时,是在域控制器上对登录进行处理的。如果审核域控制器上的账户登录事件,那么就会看到在对账户进行验证的域控制器上记录的此登录尝试。由于账户登录事件可
36、以记录在域中的任何有效的域控制器上,因此应当确保将各个域控制器上的安全日志合并,再来分析域中的所有账户登录事件。作为成员服务器和域控制器基本策略的组成部分,对成功和失败账户登录事件的审核默认启用。因此对于网络登录和终端服务身份验证,可以看到表5-4列举的事件ID:5.4.2审核策略的设置o(3)账户管理n账户管理的审核用于确定用户或组是在何时创建、更改或删除的。该审核策略可用于确定何时创建了安全主体,以及什么人执行了该任务。作为成员服务器和域控制器基本策略的组成部分,账户管理中的对成功和失败的审核默认启用。因此可以在安全日志中看到表5-5 所列举的事件ID。5.4.2审核策略的设置o(4)对象
37、访问n可以用系统访问控制列表(SACL)对基于Windows 2000的网络中的所有对象启用审核。在Windows 2000中几乎任何一个可以操作的对象都有SACL,这些对象包括NTFS驱动器上的文件和文件夹,打印机和注册表项。这些对象的SACL包含着可以对本对象进行操作的用户和组的列表。5.4.2审核策略的设置o(5)系统事件n在一个用户或进程改变计算机环境的某些方面时会生成系统事件。可以审核对系统进行更改的尝试,如关闭计算机或更改系统时间。如果审核系统事件,则也要审核清除安全日志的时间。这是很重要的,因为攻击者往往试图在对环境进行更改之后清除他们的踪迹。成员服务器和域控制器基本策略默认启用
38、对成功和失败的系统事件进行审核,因此在事件日志中会出现表5-7所列举的事件ID。5.4.2审核策略的设置o(6)策略更改n一个高级攻击者将会设法修改审核策略本身,以使他们进行的任何更改不会被审核到。如果审核策略被更改,将会发现修改审核策略的企图以及对其他策略和用户权限的更改。成员服务器和域控制器基本策略对成功和失败的审核策略更改默认启用审核。可以在事件日志中看到记录的如表5-8所示的ID事件:5.4.2审核策略的设置o2.事件日志的管理n事件日志分为应用程序日志、安全日志和系统日志三类,通过审核生成的每一个事件都可在事件查看器中查看。5.4.2审核策略的设置o(1)事件日志属性设置n若要设置事
39、件日志在存储事件的方式,可直接在事件查看器窗口中进行设置,也可在组策略中对其进行定义。o1)通过“事件查看器”设置n打开“事件查看器”窗口,在左侧窗口中,选择特定的事件日志(应用程序/安全/系统日志),右键单击,选择“属性”命令,打开相应类型事件日志的属性设置对话框,根据需要对设置进行修改。5.4.2审核策略的设置o(1)事件日志属性设置o若要设置事件日志在存储事件的方式,可直接在事件查看器窗口中进行设置,也可在组策略中对其进行定义。n2)通过组策略设置n单击“开始”,在“运行”中输入“gpedit.msc”,打开“组策略编辑器”窗口,在左策窗口定位到“计算机配置Windows 设置安全设置事
40、件日志事件日志设置”(如图5.26),根据需要对设置进行修改。5.4.2审核策略的设置o事件日志属性可进行设置的参数如下:o最大值:设置日志可以容纳的最大容量。表5-9 列出了推荐的日志容量。o保留方法:确定当前日志已满时将如何处理。表5-10列出了推荐的保留方法。5.4.2审核策略的设置o事件日志属性可进行设置的参数如下:n保留天数:设置了保留天数后,如果日志在还没有达到保留天数之前就已经填满,则不会继续记录日志,直到超过保留天数为止,此时将覆盖掉以前的日志。应该注意,应该根据保留天数设置足够大的最大容量,否则将错过重要的审核事件。n按需要改写事件:不受保留天数限制,只要日志记录超过最大值就
41、覆盖以前的事件。但是攻击者可以利用这个设置来覆盖可能记录了攻击行为的重要信息。一般不推荐设置该选项。n不改写事件:日志记录达到最大值后,需要管理员手工清除日志,否则不会再记录任何事件。如果存在定期的日志检查制度,则可采取此项设置。n限制来宾的日志的访问:删除Everyone组访问日志的能力。默认情况下,任何用户都可以访问应用程序日志和系统日志,管理员账号可以查看安全日志。n安全审核日志满后关闭计算机:日志记录已满且不能覆盖事件时,系统自动关闭。此时只有管理员用户才能登录。一般不推荐设置该选项。5.4.2审核策略的设置o(2)事件日志的筛选n在事件查看器中可以定义筛选器以查找特定的事件。打开“事
42、件查看器”窗口,在左侧窗口中,选择其中特定类型的事件日志,单击右键,选择“属性”命令,切换到“筛选器”选项卡,设定用于筛选的参数。5.4.2审核策略的设置o(2)事件日志的筛选在这里可以定义下列属性以筛选事件项。n事件类型:设置事件为信息、警告、错误、成功审计、失败审计类型或其任意组合。n事件来源:生成该事件的特定服务或驱动程序。n类别:设置筛选特定的事件类别。n事件ID:设置筛选特定的事件ID。n用户:设置筛选由特定用户生成的事件。n计算机:设置筛选由特定计算机生成的事件。n日期间隔:设置筛选在特定的开始日期和结束日期之间发生的事件。5.4.3安全记录分析o1.FTP日志分析oFTP日志和W
43、WW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期)。例如ex100730,就是2010年7月30日产生的日志,用记事本可直接打开,普通的有入侵行为的日志可能是这样的:o#Software:Microsoft Internet Information Services 5.0(微软IIS5.0)o#Version:1.0(版本1.0)o#Date:20100730 0315(服务启动日期时间)o#Fields:time cip csmethod csuristem scstatuso0315 127.0.0.1 1USER administ
44、ator 331(IP地址为127.0.0.1用户名为administator试图登录)o0318 127.0.0.1 1PASS 530(登录失败)o032:04 127.0.0.1 1USER nt 331(IP地址为127.0.0.1用户名为nt的用户试图登录)o032:06 127.0.0.1 1PASS 530(登录失败)o032:09 127.0.0.1 1USER cyz 331(IP地址为127.0.0.1用户名为cyz的用户试图登录)o0322 127.0.0.1 1PASS 530(登录失败)o0322 127.0.0.1 1USER administrator 331(I
45、P地址为127.0.0.1用户名为administrator试图登录)o0324 127.0.0.1 1PASS 230(登录成功)o0321 127.0.0.1 1MKD nt 550(新建目录失败)o0325 127.0.0.1 1QUIT 550(退出FTP程序)o从日志里能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码最终登录成功,攻击者的入侵时间、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用 Administrator用户名进入的,那么管理员就需要考虑此用户名是不是密码失窃,应该如何防范。5.4.3安全记录分析o2.WWW日志分析
46、oWWW服务同FTP服务一样,日志文件保存在%systemroot%system32LogFiles W3SVC1目录下,默认是每天一个日志文件。在这里举个简单的例子:o#Software:Microsoft Internet Information Services 5.0 o#Version:1.0o#Date:20100730 03:091o#Fields:date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)o20100730 03:091 192.168.1.26
47、192.168.1.37 80 GET/iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+XP;+DigExt)o20040419 03:094 192.168.1.26 192.168.1.37 80 GET/pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)o通过分析第五、六行,可以看出2010年7月30日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+6.0;+Windows+XP+DigExt,有经验的管理员可结合安全日志、FTP日志和WWW日志来确定是否发生了入侵行为、入侵者的IP地址以及入侵时间。