En la política de acceso a archivos de auditoría, puede seleccionar varias políticas de auditoría de seguridad según sea necesario, es decir, puede indicar al sistema operativo que registre la información de acceso al registro de seguridad cuando ocurra la operación. , incluido el visitante, la computadora del visitante, el tiempo de acceso, lo que se hizo, etc. Si todas las operaciones de acceso se registran en el registro, la capacidad del registro será muy grande, lo que no es fácil de mantener y administrar. Por este motivo, al configurar la política de acceso a los archivos de auditoría, el administrador del sistema a menudo necesita seleccionar algunos eventos específicos para reducir la capacidad del registro de acceso seguro. Para lograr este objetivo, las siguientes sugerencias están disponibles para el administrador del sistema.
Primero, el principio de operación de acceso mínimo.
En Windows 7, esta operación de acceso se divide en muy fina, como la modificación de permisos, el cambio de propietario, etc. Aunque el administrador del sistema necesita dedicar algún tiempo a pensar qué operaciones elegir o las configuraciones relacionadas, sigue siendo una bendición para los administradores del sistema. La subdivisión del permiso significa que después de que el administrador seleccione una operación de acceso particular, el registro de auditoría mínimo está disponible. En pocas palabras, el objetivo de "generar los registros de auditoría mínimos y cubrir las necesidades de seguridad de los usuarios" es más fácil de lograr. Porque en el trabajo real, a menudo solo es necesario auditar operaciones específicas. Por ejemplo, solo se puede auditar una pequeña parte de la operación, como cambiar el contenido del archivo o acceder al archivo. No hay necesidad de auditar todas las operaciones. Los registros de auditoría resultantes serán mucho menores y se cumplirán las necesidades de seguridad del usuario.
Segundo, se prefiere la operación de falla.
Para cualquier operación, el sistema se divide en éxito y fracaso. En la mayoría de los casos, para recopilar información a la que el usuario ha accedido ilegalmente, solo es necesario que el sistema registre el evento de falla. Por ejemplo, un usuario solo puede acceder de solo lectura a un archivo compartido. En este punto, el administrador puede establecer una política de acceso seguro para este archivo. Esta información se registra cuando el usuario intenta cambiar este archivo. Para otras operaciones, como el acceso normal, la información relevante no se registrará. Esto también puede reducir en gran medida el registro de auditoría de seguridad. Por lo tanto, el autor sugiere que, en general, siempre que el evento de falla esté habilitado. Se considera que permite el registro simultáneo de eventos al mismo tiempo si no cumple con la demanda. En este momento, también se registrará la información de acceso legal a los archivos por parte de algunos usuarios legítimos. En este momento, se debe tener en cuenta que el contenido en el registro de seguridad puede multiplicarse. En el sistema operativo Windows 7, puede filtrar el contenido del registro con un cepillado. Por ejemplo, puede presionar "Evento de falla" para permitir que el sistema solo enumere los registros fallidos para reducir la lectura del administrador del sistema.
Tres, ¿cómo usar la estrategia de miel para recopilar información de visitantes ilegales?
En el trabajo práctico, los administradores de sistemas también pueden usar alguna "estrategia de azúcar de miel" para recopilar información de visitantes ilegales. . ¿Cuál es la estrategia de la miel (estrategia de honeypot)? De hecho, es poner algo de miel en la red, atraer a algunas abejas que quieren robar la miel y registrar su información. Por ejemplo, puede establecer algunos archivos aparentemente importantes en los archivos compartidos en la red. A continuación, configure una política de acceso de auditoría en estos archivos. De esta manera, es posible recolectar con éxito intrusos ilegales que no están bien intencionados. Sin embargo, esta información de obediencia a menudo no se utiliza como evidencia. Solo se puede utilizar como medida de acceso. Es decir, los administradores del sistema pueden usar este medio para determinar si hay algunos "elementos incómodos" en la red empresarial, siempre intentando acceder a algunos archivos no autorizados, o realizar operaciones no autorizadas en ciertos archivos, como cambios maliciosos o eliminación de archivos. Espera Conocernos a nosotros mismos y conocernos solo podemos comprar cien victorias. Después de recopilar esta información, el administrador del sistema puede tomar las medidas correspondientes. Por ejemplo, para reforzar la supervisión de este usuario o para verificar si el host del usuario se ha convertido en el engorde de otra persona y así sucesivamente. En resumen, los administradores del sistema pueden usar este mecanismo para identificar con éxito a visitantes ilegales internos o externos para evitar que causen daños más graves.
Cuarto, nota: el reemplazo de archivos no afecta la política de acceso a la auditoría original
Configure la auditoría de seguridad
Como se muestra arriba, hay un archivo de imagen llamado captura, para Establece un acceso de auditoría de seguridad a nivel de archivo y no establece ninguna política de acceso de auditoría de seguridad en su carpeta "Nueva carpeta". En este punto, si copio un archivo idéntico (el mismo nombre de archivo y no se establece una política de acceso de auditoría de seguridad) a esta carpeta, sobrescriba el archivo original. Tenga en cuenta que esto no establecerá ninguna política de acceso de auditoría de seguridad en este momento. Después de copiar el archivo, el archivo original se sobrescribirá con el mismo nombre. Sin embargo, en este momento, la política de acceso de auditoría de seguridad se transfiere al archivo recién copiado. En otras palabras, el nuevo archivo ahora tiene acceso de auditoría de seguridad al archivo que se sobrescribió originalmente. Este es un fenómeno muy extraño, y el autor también es descubierto involuntariamente. No sé si se trata de una vulnerabilidad en el sistema operativo Windows 7 o si se configura de forma deliberada. Esto se explica por los desarrolladores del sistema operativo de Microsoft.
Hoy en día, muchos programas de instalación del software son el inicio predeterminado, y si el inici
Muchos amigos tienen comentarios, en el área de notificación de la barra de tareas de Windows7, el c
Cuando inicie sesión en una computadora remota o visite un sitio, generalmente in
el fin de semana, actualizó su propia computadora portátil de Vista a Windows 7, la razón de la actu
Cerrar la interfaz de bienvenida de inicio de sesión de Win7 Acceso directo al sistema
La función de reproducción automática del sistema Win7
Cómo configurar para que la ventana dentro de la barra de tareas de win7 sea igual que xp
Windows también puede reparar archivos dañados sin depender del CD-ROM
Solución de error de la conexión de banda ancha Win7 711
¿Es su computadora adecuada para instalar Windows 7?
Windows 7 resuelve el problema de que MSN a menudo se descarta.
Consejos de configuración de firewall para sistemas Windows 7
Las sugerencias de Win7 no pueden mostrar miniaturas
Desea ejecutar Win7 sin problemas, esta configuración no es molesta.
Compartir el poder de la administración de computadoras abierta bajo win7
El sistema Win8 instala el controlador de dispositivo de hardware en la nueva interfaz Tutorial
¿Cómo las monedas de Lulu del siglo antiguo consiguieron a los Raiders del siglo antiguo?
La solución de error HTTP 500 de IIS bajo Vista
Las ventas de Windows 8 no son buenas
El método de configuración de la pantalla transparente del cuadro de comandos del sistema Win10
Win10 instala automáticamente la aplicación del juego para deshabilitar el tutorial
Windows 7 Intercambio de conocimientos
Deje que PPStream ya no muestre el descodificador de descarga emergente
Habilidades de aplicación de Windows: uso especial de la recuperación de Ghost