La breve introducción a la estrategia de auditoría de acceso a archivos del sistema Win 7

el sistema win 7 en realidad tiene muchas de las denominadas estrategias, se estima que no todos están familiarizados con él, hoy Xiaobian le presentará la estrategia de auditoría de acceso a archivos del sistema Win 7. Los usuarios desconocidos deben echar un buen vistazo.

Primero, el principio de operación de acceso mínimo

En Win7, esta operación de acceso se divide en muy fina, como la modificación de permisos, el cambio de propietario, etc., más de diez operaciones de acceso. Aunque el administrador del sistema necesita dedicar un cierto tiempo a considerar qué operaciones elegir o realizar las configuraciones relacionadas, esto sigue siendo una bendición para los administradores del sistema. El desglose del permiso significa que después de que el administrador seleccione una operación de acceso específica, el registro de auditoría mínimo está disponible. En pocas palabras, "los registros de auditoría generados son mínimos y pueden cubrir las necesidades de seguridad de los usuarios", este objetivo es más fácil de lograr. Porque en el trabajo real, a menudo solo es necesario auditar operaciones específicas. Por ejemplo, solo se puede auditar una pequeña cantidad de operaciones, como cambiar el contenido del archivo o acceder al archivo. No hay necesidad de auditar todas las operaciones. Los registros de auditoría resultantes serán mucho menores y se cumplirán las necesidades de seguridad del usuario.

Segundo, la selección de prioridad de operación de falla

Para cualquier operación, el sistema se divide en dos casos de éxito y falla. En la mayoría de los casos, para recopilar información a la que el usuario ha accedido ilegalmente, solo es necesario que el sistema registre el evento de falla. Por ejemplo, un usuario solo puede acceder de solo lectura a un archivo compartido. En este punto, el administrador puede establecer una política de acceso seguro para este archivo. Esta información se registra cuando el usuario intenta cambiar este archivo. Para otras operaciones, como el acceso normal, la información relevante no se registrará. Esto también puede reducir significativamente los registros de auditoría de seguridad. Por lo tanto, el autor sugiere que, en general, siempre que el evento de falla esté habilitado. Considere la posibilidad de habilitar el registro de eventos simultáneos cuando no pueda satisfacer la demanda. En este momento, también se registrará la información de acceso legal a los archivos por parte de algunos usuarios legítimos. En este momento, se debe tener en cuenta que el contenido en el registro de seguridad puede multiplicarse. En el sistema operativo Windows 7, puede filtrar el contenido del registro con un cepillado. Por ejemplo, puede presionar el "Evento de falla" para permitir que el sistema solo enumere los registros fallidos para reducir la lectura del administrador del sistema.

Tercero, ¿cómo usar la estrategia de miel para recopilar información sobre visitantes ilegales?

En la práctica, los administradores de sistemas también pueden usar alguna "estrategia de azúcar de miel" para recolectar visitantes ilegales. Informacion ¿Cuál es la estrategia de la miel (estrategia de honeypot)? De hecho, es poner algo de miel en la red, atraer a algunas abejas que quieren robar la miel y registrar su información. Por ejemplo, puede establecer algunos archivos aparentemente importantes en los archivos compartidos en la red. A continuación, configure una política de acceso de auditoría en estos archivos. De esta manera, es posible recolectar con éxito intrusos ilegales que no están bien intencionados. Sin embargo, esta información de obediencia a menudo no se utiliza como evidencia. Solo se puede utilizar como medida de acceso. Es decir, el administrador del sistema puede usar este medio para determinar si hay algunos "elementos incómodos" en la red empresarial, siempre tratando de acceder a algunos archivos no autorizados, o para realizar operaciones no autorizadas en ciertos archivos, como cambios o eliminaciones maliciosas. Archivos y así sucesivamente. Conociéndonos y conociéndonos, podemos comprar cien victorias. Después de recopilar esta información, el administrador del sistema puede tomar las medidas correspondientes. Por ejemplo, para reforzar la supervisión de este usuario o para verificar si el host del usuario se ha convertido en el engorde de otra persona y así sucesivamente. En resumen, los administradores del sistema pueden usar este mecanismo para identificar con éxito a visitantes ilegales internos o externos para evitar que causen daños más graves.

En cuarto lugar, tenga en cuenta que la sustitución de archivos no afecta a la política de acceso de auditoría original.

Por ejemplo: hay un archivo de imagen llamado captura, que establece un acceso de auditoría de seguridad de nivel de archivo, no en Establezca cualquier política de acceso de auditoría de seguridad en su carpeta " Nueva carpeta ". En este punto, si copio un archivo idéntico (el mismo nombre de archivo y no se establece una política de acceso de auditoría de seguridad) a esta carpeta, se sobrescribirá el archivo original. Tenga en cuenta que esto no establecerá ninguna política de acceso de auditoría de seguridad en este momento. Después de copiar el archivo, el archivo original se sobrescribirá con el mismo nombre. Sin embargo, en este momento, la política de acceso de auditoría de seguridad se transfiere al archivo recién copiado. En otras palabras, el nuevo archivo ahora tiene acceso de auditoría de seguridad al archivo que se sobrescribió originalmente. Este es un fenómeno muy extraño, y el autor también es descubierto involuntariamente. No sé si se trata de una vulnerabilidad en el sistema operativo Windows 7 o si se configura de forma deliberada. Esto se explica por los desarrolladores del sistema operativo de Microsoft.

De hecho, la estrategia de auditoría de acceso a archivos del sistema Win 7 son estos cuatro aspectos. Echemos un vistazo al crecimiento y véalo, tal vez le ayude algún día.