La magia de la función de auditoría del sistema de Windows 2008

Los usuarios que utilizan el sistema Windows 2008 sabrán que Windows2008 tiene una seguridad de sistema superior, alta inteligencia y seguridad significativa. Si los usuarios pueden usarlo con habilidad, pueden jugar mejor. Sistema Windows2008. Primero echemos un vistazo a las características mágicas de la función de auditoría en Windows 2008.

Habilitación de la auditoría de configuración

Las funciones de auditoría de los sistemas Windows Server 2008 no están habilitadas de forma predeterminada, debemos habilitar y configurar su auditoría para eventos específicos del sistema, de modo que La función monitoreará y registrará el mismo tipo de eventos del sistema. El administrador de la red puede ver el resultado del monitoreo de la función de auditoría abriendo el registro del sistema correspondiente en el futuro. La función de auditoría tiene una amplia gama de aplicaciones. No solo puede rastrear y monitorear algunos comportamientos operativos en el sistema del servidor, sino que también puede eliminar rápidamente las fallas operativas de acuerdo con el estado operativo del sistema del servidor. Por supuesto, debe recordar a todos los amigos que la activación de la función de auditoría a menudo consume algunos recursos valiosos del sistema del servidor y hará que disminuya el rendimiento del sistema del servidor. Esto se debe a que el sistema Windows Server 2008 debe liberar algunos recursos de espacio para guardar la función de auditoría. Seguimiento y registro de resultados. Con este fin, en el caso de los recursos de espacio del sistema del servidor limitados, debemos utilizar la función de auditoría con cuidado, para asegurarnos de que esta función solo supervise y registre algunas operaciones particularmente importantes.

Al habilitar y configurar la función de auditoría del sistema Windows Server 2008, podemos iniciar sesión en el sistema correspondiente con la autoridad del sistema, abrir el menú "Inicio" en el escritorio del sistema y hacer clic en "Seleccionar" en el menú. Configure el comando ", " Panel de control " y haga clic en el botón “Sistema y mantenimiento” en la ventana emergente del Panel de control del sistema, y ​​el icono “Herramientas administrativas” aparecerá en la lista de herramientas de administración que aparecerá más adelante. Busque el ícono " Local Security Policy ' y haga doble clic en el ícono para abrir la ventana de la consola Local Security Policy.

A continuación, en el panel izquierdo de la ventana de la consola de destino, expanda la opción " Configuración de seguridad " /" Directivas locales " /" Política de auditoría " rama en el correspondiente " En el panel derecho de la opción de políticas y bifurcaciones, encontraremos que el sistema Windows Server 2008 contiene nueve políticas de auditoría, lo que significa que el sistema del servidor puede permitir el seguimiento y registro de nueve operaciones principales, como se muestra en la Figura 1.
Figura 1 Política de seguridad local

La política de seguimiento del proceso de auditoría se usa específicamente para rastrear el estado de ejecución del daemon del sistema del servidor, como lo que se ejecuta o apaga el fondo del sistema del servidor, manejar el identificador Si se realiza la copia del archivo o el acceso a los recursos del sistema, la función de auditoría puede rastrearlos y registrarlos, y guardar automáticamente el contenido de la supervisión y la grabación en los archivos de registro del sistema correspondiente.

La política de administración de cuentas de auditoría se usa específicamente para rastrear y monitorear la modificación, eliminación y adición del sistema de inicio de sesión del sistema servidor. Se revisará cualquier operación de agregar cuentas de usuario, eliminar operaciones de cuenta de usuario y modificar operaciones de cuenta de usuario. La función se graba automáticamente.

La política de uso de privilegios de auditoría se usa específicamente para rastrear y monitorear otras operaciones privilegiadas realizadas por los usuarios, además de las operaciones de cierre de sesión y las operaciones de inicio de sesión durante la ejecución del sistema del servidor. Cualquier privilegio que afecte la seguridad del sistema del servidor. La operación se guardará en el registro de seguridad del sistema mediante el registro de la función de auditoría. El administrador de la red puede encontrar fácilmente algunas pistas que afectan la seguridad del servidor según el contenido del registro.

Cuando se activan diferentes políticas de auditoría, los sistemas Windows Server 2008 rastrearán y registrarán diferentes tipos de operaciones. Los administradores de red deben habilitar la auditoría de acuerdo con sus propios requisitos de seguridad y el rendimiento del sistema del servidor. Estrategia, en lugar de habilitar ciegamente todas las estrategias de auditoría, de modo que el rol de la función de auditoría no se utilice completamente.
Figura 2: Auditoría de las propiedades del evento de inicio de sesión

Por ejemplo, si queremos rastrear y monitorear el estado de inicio de sesión del sistema del servidor para confirmar si existe un comportamiento de inicio de sesión ilegal en la LAN, entonces podemos usar el mouse directamente. Haga doble clic aquí en la política de eventos de inicio de sesión de auditoría, abra el cuadro de diálogo de configuración de opciones de la política correspondiente (como se muestra en la Figura 2), seleccione la opción " éxito >; success " y " failure " y luego haga clic en el botón "Aceptar". Como resultado, el sistema Windows Server 2008 rastreará y registrará automáticamente todas las operaciones de inicio de sesión del sistema del servidor local en el futuro. Ya sea una operación exitosa del servidor de inicio de sesión o una operación de inicio de sesión fallida, podemos encontrar la operación correspondiente a través del visor de eventos. Al grabar, analizar cuidadosamente los registros de estas operaciones de inicio de sesión, podemos averiguar si hay inicios de sesión ilegales o incluso intrusiones ilegales en el servidor local.

Visualización de los registros de la función de auditoría

Después de habilitar y configurar las políticas de auditoría adecuadas, Windows Server 2008 rastreará y registrará automáticamente ciertos tipos de operaciones y guardará los registros en los registros correspondientes. Se incluye el archivo de registro del sistema. En el futuro, el administrador de la red puede averiguar si existe una amenaza de seguridad en el sistema del servidor en función del contenido del registro. Al ver el contenido del registro registrado por la función de auditoría, debemos usar la función del visor de eventos para completar los siguientes pasos:

Primero ingrese al sistema Windows Server 2008 con privilegios de superadministrador. Haga clic en el comando " Inicio " /" Programas " /" Administratives " >;   Server Manager " en el escritorio del sistema para abrir la ventana de la consola de Server Manager para el sistema correspondiente;

A continuación, en el área de visualización en el lado izquierdo de la ventana de la consola, coloque el mouse sobre la opción de "Diagnóstico", y desde la opción de rama, haga clic en "Visor de eventos" y "//" Registro de Windows"; subelementos, debajo del subelemento objetivo veremos "Aplicaciones", "Seguridad", "Instalador", "Sistema", "Eventos de devolución" Registro de eventos, como se muestra en la Figura 3;
Figura 3 Administrador del servidor Anterior 12 Página siguiente Total de 2 páginas