详述Windows Server 2008全面审核策略
我要评论
现在我们已经了解了问题所在,那么 Windows Server 2008 是如何帮助组织应对这些挑战的呢?Windows Server 2008 是第一个包含新的 Windows Eventing 6.0 事件子系统的服务器版本,它极大地改善了安全事件管理的前景。请注意,虽然我们此处重点讨论的是 Windows Server 2008,但 95% 的新功能集也存在于 Windows Vista 中。
对于 Windows Eventing 6.0,很多人的第一个关注点都会是全新的用户界面。新的“事件查看器 Microsoft 管理控制台”(MMC) 管理单元提供了出色的概述和摘要页面、灵活的自定义视图以及功能大大增强的说明文字。这些界面可帮助最终用户或系统管理员查找事件信息,并可直接从“事件查看器”配置重要的事件日志选项。
常常会影响到事件日志中的安全数据的一个关键问题是数据的保留。以前,“事件日志”子系统(包括所有日志)会面临可伸缩性限制。如果超过了这些限制,整个子系统将停止记录事件。但在 Windows Eventing 6.0 中则不然,组织现在只受可用磁盘空间数量的限制。不过要注意,过大的事件日志分析起来可能会非常麻烦,因为每个单独的日志条目在过滤时都必须进行评估,因此您可以干脆将日志保持在可管理的大小。
当然,这仍允许 IT 管理员为许多系统的事件日志制定存档计划。为了在本地服务器级别对此提供帮助,在 Windows Eventing 6.0 中新增了一个功能,即选项“日志满时存档日志而不覆盖事件”。在先前版本的 Windows 中,此选项只能通过修改 AutoBackupLogFiles 注册表值直接进行设置。尽管这提供了一种在本地存档日志的机制,但是它并未提供随时间推移来管理这些文件的解决方案,也未解决跨多系统时出现的聚合问题。“审核收集服务”没有为此提供完整的解决方案,我们过一会儿将谈到这一点。
新的界面只是一个开始。Windows Eventing 6.0 真正强大的功能在于新的 Windows Event Log 服务和底层的基于 XML 的引擎。这些组件提供了增强的可伸缩性、可访问性和各种管理选项。事件现在以灵活的 XML 格式进行存储,允许用户自定义解决方案,无缝地植入此信息。
Windows Eventing 6.0 还提供将管理操作与特定事件相关联的能力。这是通过将 Windows Event Collector 服务与 Task Scheduler 相集成,从而提供基于任务的事件记录功能来实现的。这是 Task Scheduler 的一个新范例,以前它只能基于时间来触发事件。“Attach Task to this Event”(将任务附加到此事件)向导(位于 Windows Server 2008 Event Viewer 中,可在任意事件的上下文菜单中找到)为启动程序、发送电子邮件或显示在任意时刻记录的特定事件的消息提供了一种简便的方法。当尝试确定在环境中发生的独立于特定安全事件的特定操作时,此功能可能会非常有用。例如,如果要审核在域控制器上对“Schema Update Allowed”注册表项所做的变更,您可以创建一个任务,当此注册表项被修改时向指定的安全管理员发送一封电子邮件来通知他们。
除了收集和存储大量事件条目这一新功能外,您现在还可以更加灵活地控制要在事件日志中记录的事件。这是通过一个名为 Granular Audit Policy (GAP) 的新功能完成的。在以前版本的 Windows 中,九个主要审核类别常常会导致事件超载。这些顶级类别现在可通过 50 个精细子类别加以控制,每个都代表事件的一个相关子集。
这样就可以从事件日志中过滤出非关键信息,而不会在类别级损失可视性。例如,如果在特定系统上只想监视对注册表而不是对文件系统的变更,以前只能选择只报告“对象访问”类别中成功或失败的项目。利用 GAP,您现在可以过滤出各种子类别(如“文件系统”、“认证服务”以及“文件共享”),并且可以只报告在“注册表”子类别上发生的事件。要了解 Windows Server 2008 系统中 GAP 子类别的内容,必须从提升的命令提示符下运行 Auditpol 命令。要列出可用的 GAP 子类别,请键入以下内容:
| auditpol /list /subcategory:* |
| auditpol /get /category:* |
相关文章
- 这篇文章主要介绍了Win2008 R2 无法连接无线网络的解决方法,需要的朋友可以参考下2020-09-21
win2008 R2更新KB4516065 错误代码 80092004 的解决方法
今天在给服务器安装补丁的时候遇到了更新错误,提示代码是80092004,经过一番查证,小编终于找到了解决方案,现把解决方法分享给大家.2020-02-03
Windows Server 2008 R2怎么打开镜像卷?
Windows Server 2008 R2怎么打开镜像卷?Windows Server 2008 R2系统需要代开镜像卷,该怎么打开呢?下面我们就来看看详细的教程,需要的朋友可以参考下2019-12-12
Windows Server 2008所有版本的激活密钥汇总分享
还在苦苦寻找Windows Server 2008秘钥的朋友,快来看看这篇文章中,文中详细的Server 2008各种版本的序列号,激活码,有需要的朋友快来使用吧2019-07-04
Windows Server 2008 发行了多种版本,以支持各种规模的企业对服务器不断变化的需求。那么此版本如何激活使用呢?还不知道的朋友不妨阅读下文内容,参考一下吧2019-07-04
windows server 2008R2 如何删除克隆账户?
Windows Server 2008 R2是一款服务器操作系统。那在本款系统中如何删除克隆账户呢?想要了解具体如何操作的朋友,不妨阅读下文内容,参考一下吧2019-07-04
windows server 2008r2怎么设置IP黑名单?
Windows Server 2008 R2是一款服务器操作系统。那在本款系统中如何设置IP黑名单呢?想要了解具体如何操作的朋友,不妨阅读下文内容,参考一下吧2019-07-03
这篇文章主要介绍了快速安装Windows2008域控制器的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-12-22
与Windows2003相比,Windows2008群集改进了许多功能。其中最引人注目的是仲裁选项的变化。这篇文章给大家介绍了创建Windows2008群集的相关知识,需要的朋友参考下吧2017-12-21
搭建Win2008故障转移群集、如何搭建服务器集群、2008故障转移群集搭建
这篇文章主要介绍了搭建Win2008故障转移群集、如何搭建服务器集群、2008故障转移群集搭建方法的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小2017-12-21
最新评论