Windows Server 2008中审核和符合性

　　所有审核事件都记录在 Windows 安全事件日志中。这些事件通常都是无法立即对其采取操作的，实际上它们一般都属于信息性内容。对所发生的每个特定类型的访问，每个事件都记录一个简单的“审核成功”或“审核失败”。这不同于那些应用程序或系统事件日志，它们可通过彩色编码来识别问题(提示：可通过查找红色事件来追踪问题)。

　　安全事件日志与此完全不同，因为审核的事件通常被其数量所掩盖，并且如前所述，安全数据的关联可能会带来重大的挑战。即使是单一系统上的简单数据破坏也会成为问题。此时可能需要对安全事件日志加以分析，以确定哪个帐户被用来访问该数据，这就需要管理员回溯查看整个日志以尝试找到该帐户。遗憾的是，当今一些较为复杂的攻击通常是协调、分散的，这使得受害者在进行此类分析时非常困难。

　　也就是说，了解使信息能够记录在 Windows 的安全事件日志中的以下关键要素非常重要：“审核策略”和“系统访问控制列表”(SACL)。对于本地计算机而言，“审核策略”是可以通过“组策略”或“本地安全策略”进行配置的设置，可定义特定访问类型的成功和失败事件集合。以下主要“审核策略”类别在 Windows 中已存在多年(稍后在 Windows Server 2008 的新“Granular Audit Policy”中还会介绍更多策略)：

　　●审核帐户登录事件

　　●审核帐户管理

　　●审核目录服务访问

　　●审核登录事件

　　●审核对象访问

　　●审核策略变更

　　●审核权限使用

　　●审核过程跟踪

　　●审核系统事件

　　通常大多数 IT 组织都非常了解定义“审核策略”的需求以及这些相关的类别，但是“审核策略”只代表其中一部分解决方案。 在实现全面审核计划方面也扮演着一个重要角色。两个特定的“审核策略”类别(审核目录服务访问和审核对象访问)完全取决于 SACL 在安全事件日志中返回的信息。那么 SACL 究竟是什么?

　　每个对象(文件、注册表或目录服务)都有一个“访问控制列表”(ACL)，其中包含一个或多个被分为以下两种类型的“访问控制项”(ACE)：“随机访问控制列表”(DACL) 和 SACL(后者定义的设置会记录试图对安全对象进行的访问)。SACL 中的每个 ACE 都指定了应记录在安全事件日志中的特定托管人的访问尝试类型。ACE 用来定义对指定对象的成功和/或失败的访问尝试记录。图 1 显示的是对某个对象使用 SACL 以生成特定访问类型的事件。

最新评论