Windows Server 2008中审核和符合性

互联网   发布时间:2009-07-02 01:51:08   作者: 我要评论
  在信息技术世界里,变更是永恒的。如果您的 IT 组织与大多数其他 组织并无二致,那么了解在您的环境中所发生的变更就会成为您不得不面对的压力,而且这种压力与日俱增。IT 环境的复杂性和规模不断变大,由于管理错误和意外数据泄漏所带来的影响也越来越严重。当今的社

  

  图 1 对某个对象使用 SACL

  了解“审核策略”与 SACL 之间的关系至关重要,因为在涉及环境中的变更时,需要通过配置来捕捉“正确”的审核事件。如前所述,“审核目录服务访问”和“审核对象访问审核策略”只允许在安全事件日志中针对那些特定类别生成审核,如果某个对象在其 SACL 中配置了审核 ACE,则只生成事件。当这些条目准备就绪后,安全事件将由 Windows 本地安全机构 (LSA) 生成并被写入安全事件日志。

  事件由两个截然不同的区域组成:标头 - 它是静态的,预先为每个事件标识符(事件 ID)都做了定义;正文 - 它是动态的,不同的事件包含不同的详细信息。图 2 显示了 Windows Server 2008 安全事件示例中的这两个元素。了解这些事件的组成对任意审核项目的分析阶段而言都非常重要,并且对于了解在各种工具(如 ACS)中如何返回信息也具有特殊意义。

  

  图 2 审核事件的标头和正文

相关文章

最新评论