El sistema operativo del servidor WindowsServer2008 ha mejorado enormemente en términos de seguridad, pero aún no podemos garantizar que no será atacado por virus. Para garantizar mejor la seguridad de WindowsServer2008 La seguridad del sistema, creo que la mayoría de los administradores de red no escatimarán gastos para "complacer" una variedad de herramientas de seguridad profesionales para llevar a cabo la "protección" de seguridad en el sistema del servidor. De hecho, sin ninguna herramienta de seguridad profesional disponible, Puede confiar en la potencia del sistema Windows Server 2008 para reproducir completamente todos los aspectos del rendimiento de seguridad y prevención del sistema, de modo que también puede "acompañar" la operación de seguridad de WindowsServer2008, es decir, usar la función de auditoría WindowsServer2008 para rastrear y monitorear todas las operaciones del sistema del servidor. De acuerdo con los resultados del monitoreo, puede verificar rápidamente la falla del sistema del servidor y garantizar la seguridad del sistema del servidor.
habilitar la auditoría de configuración
WindowsServer2008 auditoría del sistema no está activado por defecto, tenemos que estar habilitado para eventos específicos del sistema, la configuración de sus funciones de auditoría, por lo que esta función sólo El mismo tipo de eventos del sistema se monitorea y registra, y el administrador de la red puede ver los resultados del monitoreo de la función de auditoría simplemente abriendo los registros del sistema correspondiente en el futuro. La función de auditoría tiene una amplia gama de aplicaciones. No solo puede rastrear y monitorear algunos comportamientos operativos en el sistema servidor, sino que también puede eliminar rápidamente fallas operacionales de acuerdo con el estado operativo del sistema servidor. Por supuesto, debe recordar a todos los amigos que la activación de la función de auditoría a menudo consume algunos recursos valiosos del sistema del servidor y hará que el rendimiento del sistema del servidor disminuya. Esto se debe a que el sistema Windows Server 2008 debe liberar algunos recursos de espacio para guardar la función de monitoreo. Registrar los resultados. Por esta razón, en el caso de recursos limitados de espacio en el sistema del servidor, deberíamos usar la función de auditoría con cuidado para asegurarnos de que esta función solo supervise y registre algunas operaciones particularmente importantes.
activada, cuando se configura el sistema WindowsServer2008 auditoría, podemos empezar a iniciar sesión en el sistema de privilegios de correspondencia raíz del sistema, abra el escritorio en el menú "Inicio", desde el cual, a su vez, haga clic en "Configuración", "Control En el comando del panel, haga clic en Herramientas administrativas y de sistema y mantenimiento en la ventana emergente del panel de control del sistema. En la lista de herramientas de administración que aparece, ubique el ícono de Política de seguridad local y haga doble clic con el mouse. Icono para abrir la ventana de la consola de políticas de seguridad local.
próximo objetivo en el panel izquierdo de la ventana muestra la consola, expanda Configuración de seguridad "" /"Directivas locales" /"Política de Auditoría" opción rama, en el correspondiente derecho de la opción rama "Directiva de auditoría" En el panel de visualización, veremos que el sistema Windows Server 2008 contiene nueve políticas de auditoría, lo que significa que el sistema del servidor puede permitir el seguimiento y registro de nueve operaciones principales. estrategia de seguimiento de proceso de auditoría
está diseñado para ejecutarse en el estado de trayectoria del sistema demonio del servidor, tales como un sistema servidor que ejecuta una vuelta repentina o apagar cualquier programa, manejar manejar copia o si los recursos del sistema de archivos Para operaciones como el acceso, la función de auditoría puede rastrearlas y registrarlas, y guardar automáticamente el contenido de la supervisión y la grabación en los archivos de registro del sistema correspondiente. estrategia de gestión de cuentas Auditoría
está diseñado para realizar un seguimiento, cuenta supervisor del sistema de servidor de acceso modificar, borrar, añadir operación, cualquier operación para agregar cuentas de usuario, eliminar cuentas de usuario, modificar las operaciones de cuenta de usuario serán auditados La función se graba automáticamente. Algunos política de uso de privilegios de Auditoría
privilegiada está diseñado para rastrear, monitorear usuario privilegiado para realizar otras operaciones que no sean de cierre de sesión, la operación de inicio de sesión del sistema de servidores durante el funcionamiento, el servidor se ejecuta en cualquier implicaciones de seguridad del sistema La operación se guardará en el registro de seguridad del sistema mediante el registro de la función de auditoría. El administrador de la red puede encontrar fácilmente algunas pistas que afectan la seguridad del servidor según el contenido del registro.
habilitar diferentes políticas de auditoría, el sistema WindowsServer2008 operará en un tipo diferente de pista de registro, los administradores de red deben configurarse de acuerdo con el cumplimiento de sus requisitos de seguridad y sistemas de servidores para permitir su propia política de auditoría, En lugar de habilitar ciegamente todas las estrategias de auditoría, el rol de la función de auditoría no se utilizará por completo.
Por ejemplo, si queremos iniciar la sesión cuando el estado del sistema del servidor para el seguimiento, la vigilancia, con el fin de confirmar la existencia de actos ilegales de acceso a internet, entonces podemos hacer doble clic en la política de sucesos de inicio de Auditoría aquí directamente con el ratón, abierto En función del cuadro de diálogo de configuración de opciones de la política, seleccione las opciones "éxito" y "error", y luego haga clic en el botón "Aceptar" para que el sistema Windows Server 2008 rastree y registre automáticamente todas las operaciones de inicio de sesión del sistema del servidor local en el futuro. Ya sea una operación exitosa del servidor de inicio de sesión o una operación fallida del servidor de inicio de sesión, podemos encontrar el registro de operación correspondiente a través del visor de eventos. Al analizar cuidadosamente los registros de estas operaciones de inicio de sesión, podemos averiguar si hay un inicio de sesión ilegal o incluso ilegal en el servidor local. Intrusión Después de la función
registros de auditoría vista
está activado, configurar la política apropiada de auditoría, el sistema WindowsServer2008 será hacer un seguimiento automático de un tipo particular de operación, grabar y guardar el contenido grabado a los sistemas correspondientes En el archivo de registro, el administrador de la red puede averiguar si existe una amenaza de seguridad en el sistema del servidor en función del contenido del registro. Al visualizar el contenido de la función de registro de auditoría registrada, hay que utilizar la función de Visor de sucesos para completar, es buscar en los registros siguientes pasos característica específica de auditoría:
En primer lugar, los privilegios de superadministrador para entrar en el sistema WindowsServer2008, seguido de un único clic en el escritorio en la pantalla "Inicio", "programas" /comando /"herramientas administrativas" /"Administrador del servidor", abierta ventana de consola del Administrador del servidor correspondiente al sistema;
segundo lugar, en la ventana de consola En el área de visualización izquierda, coloque el mouse en la opción de bifurcación "Diagnóstico" y, desde la opción de bifurcación, haga clic en el subelemento "Visor de eventos" /"Registro de Windows", debajo del subelemento objetivo veremos "Aplicaciones" "" seguridad "" Configuración "" sistema "" evento hacia adelante "las cinco categorías de eventos registrados; cuando
seleccionar una opción de categoría con el ratón, podemos ver claramente los correspondientes Abra todos los registros de eventos en la categoría y luego haga doble clic en la opción de registro especificada para abrir la interfaz de información detallada del registro de eventos de destino. En esta interfaz podremos ver los detalles de la fuente de contenido del evento destino del evento específico, el identificador de suceso, y otra información relevante. Cuando
encontrar contenido acontecimiento importante, podemos hacer algo con ellos, por ejemplo, con el fin de ser capaces de tener tiempo en el futuro cuando un cuidadoso análisis del contenido de los eventos importantes, que puede ser un contenido importante evento a ahorrar hasta Evite el borrado accidental al limpiar el registro. Al guardar el contenido de un evento importante, simplemente hacemos clic derecho en el contenido del evento de destino, ejecutamos el comando "Guardar evento como" en el menú emergente emergente y luego configuramos la ruta de guardado y la configuración específica. El nombre del archivo, haga clic en el botón "Guardar", y solo necesita ejecutar el comando "Abrir registro guardado" en el menú del botón derecho para llamar al archivo de registro guardado anteriormente. Si descubrimos que hay demasiados eventos almacenados en el sistema del servidor, deberíamos borrar periódicamente los registros al ejecutar el comando "Borrar registros" en el menú del botón derecho para liberar más recursos de espacio valiosos. En el caso de más registros, no es fácil encontrar rápidamente el registro de eventos que desea, en este caso, podemos ejecutar el comando "Filtrar registro actual" para filtrar los registros.