En la política de acceso a archivos de auditoría, puede seleccionar varias políticas de auditoría de seguridad según sea necesario, es decir, puede indicar al sistema operativo que registre la información de acceso al registro de seguridad cuando ocurra, incluyendo Acceso a la persona, a la computadora del visitante, a la hora de la visita, a lo que se hizo, etc. Si todas las operaciones de acceso se registran en el registro, la capacidad del registro será muy grande, lo que no es fácil de mantener y administrar. Por este motivo, al configurar la política de acceso a los archivos de auditoría, el administrador del sistema a menudo necesita seleccionar algunos eventos específicos para reducir la capacidad del registro de acceso seguro. Para lograr este objetivo, las siguientes sugerencias están disponibles para el administrador del sistema.
Primero, el principio de operación de menor acceso.
En Windows 7, esta operación de acceso se divide en muy fina, como modificar permisos, cambiar el propietario, etc. Aunque el administrador del sistema necesita dedicar algún tiempo a pensar qué operaciones elegir o las configuraciones relacionadas, sigue siendo una bendición para los administradores del sistema. La subdivisión del permiso significa que después de que el administrador seleccione una operación de acceso particular, el registro de auditoría mínimo está disponible. En pocas palabras, "los registros de auditoría generados son mínimos y pueden cubrir las necesidades de seguridad de los usuarios", este objetivo es más fácil de lograr. Porque en el trabajo real, a menudo solo es necesario auditar operaciones específicas. Por ejemplo, solo se puede auditar una pequeña parte de la operación, como cambiar el contenido del archivo o acceder al archivo. No hay necesidad de auditar todas las operaciones. Los registros de auditoría resultantes serán mucho menores y se cumplirán las necesidades de seguridad del usuario. En segundo lugar, se prefiere la operación de fallo.
Para cualquier operación, el sistema se divide en éxito y fracaso. En la mayoría de los casos, para recopilar información a la que el usuario ha accedido ilegalmente, solo es necesario que el sistema registre el evento de falla. Por ejemplo, un usuario solo puede acceder de solo lectura a un archivo compartido. En este punto, el administrador puede establecer una política de acceso seguro para este archivo. Esta información se registra cuando el usuario intenta cambiar este archivo. Para otras operaciones, como el acceso normal, la información relevante no se registrará. Esto también puede reducir en gran medida el registro de auditoría de seguridad. Por lo tanto, el autor sugiere que, en general, siempre que el evento de falla esté habilitado. Se considera que permite el registro simultáneo de eventos al mismo tiempo si no cumple con la demanda. En este momento, también se registrará la información de acceso legal a los archivos por parte de algunos usuarios legítimos. En este momento, se debe tener en cuenta que el contenido en el registro de seguridad puede multiplicarse. En el sistema operativo Windows 7, puede filtrar el contenido del registro con un cepillado. Por ejemplo, puede presionar "evento de gran cantidad de recursos" para permitir que el sistema solo enumere los registros fallidos para reducir la lectura del administrador del sistema.
Tres, cómo usar la estrategia de miel para recopilar información de visitantes ilegales. En el trabajo real, los administradores del sistema también pueden usar alguna "estrategia de azúcar de miel" para recopilar información de visitantes ilegales. ¿Cuál es la estrategia de la miel (estrategia de honeypot)? De hecho, es poner algo de miel en la red, atraer a algunas abejas que quieren robar la miel y registrar su información. Por ejemplo, puede establecer algunos archivos aparentemente importantes en los archivos compartidos en la red. A continuación, configure una política de acceso de auditoría en estos archivos. De esta manera, es posible recolectar con éxito intrusos ilegales que no están bien intencionados. Sin embargo, esta información de obediencia a menudo no se utiliza como evidencia. Solo se puede utilizar como medida de acceso. Es decir, el administrador del sistema puede usar este medio para determinar si hay algunos "elementos incómodos" en la red empresarial, siempre tratando de acceder a algunos archivos no autorizados, o para realizar operaciones no autorizadas en ciertos archivos, como cambios o eliminaciones maliciosas. Archivos y así sucesivamente. Conocernos a nosotros mismos y conocernos solo podemos comprar cien victorias. Después de recopilar esta información, el administrador del sistema puede tomar las medidas correspondientes. Por ejemplo, para reforzar la supervisión de este usuario o para verificar si el host del usuario se ha convertido en el engorde de otra persona y así sucesivamente. En resumen, los administradores del sistema pueden usar este mecanismo para identificar con éxito a visitantes ilegales internos o externos para evitar que causen daños más graves.
Cuarto, nota: el reemplazo de archivos no afecta a la política de acceso de auditoría original
establecer una auditoría de seguridad
hay un archivo de imagen llamado captura, establecer un acceso de auditoría de seguridad a nivel de archivo, no en él Establezca cualquier política de acceso de auditoría de seguridad en la carpeta " Nueva carpeta ". En este punto, si copio un archivo idéntico (el mismo nombre de archivo y no se establece una política de acceso de auditoría de seguridad) a esta carpeta, sobrescriba el archivo original. Tenga en cuenta que esto no establecerá ninguna política de acceso de auditoría de seguridad en este momento. Después de copiar el archivo, el archivo original se sobrescribirá con el mismo nombre. Sin embargo, en este momento, la política de acceso de auditoría de seguridad se transfiere al archivo recién copiado. En otras palabras, el nuevo archivo ahora tiene acceso de auditoría de seguridad al archivo que se sobrescribió originalmente. Este es un fenómeno muy extraño, y el autor también es descubierto involuntariamente. No sé si se trata de una vulnerabilidad en el sistema operativo Windows 7, o si está configurada de forma deliberada, está esperando que los desarrolladores del sistema operativo de Microsoft lo expliquen.