Función de auditoría del sistema Win2008 magic graphic Introduction

Habilitar la función de auditoría de la configuración

La función de auditoría del sistema de Windows Server 2008 no está habilitada de forma predeterminada, debemos habilitarla y configurarla para eventos específicos del sistema La función de auditoría, de modo que la función monitoreará y registrará el mismo tipo de eventos del sistema, y ​​el administrador de la red puede ver el resultado de monitoreo de la función de auditoría abriendo el registro del sistema correspondiente en el futuro. La función de auditoría tiene una amplia gama de aplicaciones. No solo puede rastrear y monitorear algunos comportamientos operativos en el sistema servidor, sino que también puede eliminar rápidamente fallas operacionales de acuerdo con el estado operativo del sistema servidor. Por supuesto, debe recordar a sus amigos que la activación de la función de auditoría a menudo consume algunos recursos valiosos del sistema del servidor y hará que el rendimiento en ejecución del sistema del servidor disminuya. Esto se debe a que el sistema Windows Server 2008 debe liberar algunos recursos de espacio para guardar la función de auditoría. Seguimiento y registro de resultados. Por esta razón, en el caso de recursos limitados de espacio en el sistema del servidor, deberíamos usar la función de auditoría con cuidado para asegurarnos de que esta función solo supervise y registre algunas operaciones particularmente importantes.

Al habilitar y configurar la función de auditoría del sistema Windows Server 2008, podemos iniciar sesión en el sistema correspondiente con el privilegio del sistema, abrir el menú "Inicio" en el escritorio del sistema y hacer clic en "Seleccionar" en el menú. Configure el comando ", " Panel de control " y haga clic en el botón “Sistema y mantenimiento” en la ventana emergente del Panel de control del sistema, y ​​en el icono “Herramientas administrativas” en la lista de herramientas de administración que aparece. Busque el ícono " Local Security Policy ' y haga doble clic en el ícono para abrir la ventana de la consola Local Security Policy.

A continuación, en el panel izquierdo de la ventana de la consola de destino, expanda la opción " Configuración de seguridad " /" Directivas locales " /" Política de auditoría " rama en el correspondiente " En el panel derecho de la opción de políticas y bifurcaciones, encontraremos que el sistema Windows Server 2008 contiene nueve políticas de auditoría, lo que significa que el sistema del servidor puede permitir el seguimiento y registro de nueve operaciones principales, como se muestra en la Figura 1.
Figura 1 Política de seguridad local

La política de seguimiento del proceso de auditoría se usa específicamente para rastrear el estado de ejecución del daemon del sistema del servidor, como lo que se ejecuta o apaga el fondo del sistema del servidor, manejar el identificador Ya sea que se realice la copia del archivo o el acceso a los recursos del sistema, la función de auditoría puede rastrearlos y registrarlos, y guardar automáticamente los contenidos monitoreados y grabados en el archivo de registro del sistema correspondiente.

La política de administración de cuentas de auditoría se usa específicamente para rastrear y monitorear la modificación, eliminación y adición de la cuenta de inicio de sesión del sistema del servidor. Se revisará cualquier operación de agregar cuentas de usuario, eliminar operaciones de cuentas de usuarios y modificar las operaciones de cuentas de usuarios. La función se graba automáticamente.

La política de uso de privilegios de auditoría se usa específicamente para rastrear y monitorear otras operaciones privilegiadas realizadas por los usuarios, además de las operaciones de cierre de sesión y las operaciones de inicio de sesión durante la ejecución del sistema del servidor. Cualquier privilegio que afecte la seguridad del sistema del servidor. La operación se guardará en el registro de seguridad del sistema mediante el registro de la función de auditoría. El administrador de la red puede encontrar fácilmente algunas pistas que afectan la seguridad del servidor según el contenido del registro.

Cuando se habilitan diferentes políticas de auditoría, los sistemas Windows Server 2008 rastrearán y registrarán diferentes tipos de operaciones. Los administradores de red deben habilitar la auditoría de acuerdo con sus propios requisitos de seguridad y el rendimiento del sistema del servidor. Estrategia, en lugar de habilitar ciegamente todas las estrategias de auditoría, de modo que el rol de la función de auditoría no se utilice completamente.
Figura 2: Auditoría de las propiedades del evento de inicio de sesión

Por ejemplo, si queremos rastrear y monitorear el estado de inicio de sesión del sistema del servidor para confirmar si existe un comportamiento de inicio de sesión ilegal en la LAN, entonces podemos usar el mouse directamente. Haga doble clic aquí en la política de eventos de inicio de sesión de auditoría, abra el cuadro de diálogo de configuración de opciones de la política correspondiente (como se muestra en la Figura 2), seleccione la opción " éxito >; success " y " failure, y luego haga clic en el botón <; OK ". Como resultado, el sistema Windows Server 2008 rastreará y registrará automáticamente todas las operaciones de inicio de sesión del sistema del servidor local en el futuro. Ya sea la operación exitosa del servidor de inicio de sesión o la operación fallida del servidor de inicio de sesión, podemos encontrar la operación correspondiente a través del visor de eventos. Al grabar, analizar cuidadosamente los registros de estas operaciones de inicio de sesión, podemos averiguar si hay inicios de sesión ilegales o incluso intrusiones ilegales en el servidor local.

Visualización de los registros de la función de auditoría

Después de habilitar y configurar las políticas de auditoría adecuadas, Windows Server 2008 rastreará y registrará automáticamente ciertos tipos de operaciones y guardará los registros en los registros correspondientes. Se incluye el archivo de registro del sistema. En el futuro, el administrador de la red puede averiguar si existe una amenaza de seguridad en el sistema del servidor en función del contenido del registro. Al ver el contenido del registro registrado por la función de auditoría, debemos usar la función del visor de eventos para completar los siguientes pasos:

Primero ingrese al sistema Windows Server 2008 con privilegios de superadministrador. Haga clic en el comando " Inicio " /" Programas " /" Administratives " >;   Server Manager " en el escritorio del sistema para abrir la ventana de la consola de Server Manager para el sistema correspondiente;

A continuación, en el área de visualización en el lado izquierdo de la ventana de la consola, coloque el mouse sobre la opción de "Diagnóstico" y, desde la opción de rama, haga clic en "Visor de eventos" y "/&""; "Registro de Windows" y """; subelementos, debajo del subelemento objetivo veremos "Aplicaciones", "Seguridad", "Instalador", "Sistema", "Eventos de devolución" Registro de eventos, como se muestra en la Figura 3;
Figura 3 Administrador del servidor

Cuando selecciona una opción de categoría con el mouse, podemos mostrarlo desde el centro de la interfaz de la Figura 3. En el área de visualización, todos los registros de eventos en la categoría correspondiente se ven claramente, y cuando se hace doble clic con el mouse en la opción de registro especificada, se puede abrir la interfaz de información detallada del registro de eventos de destino, en la que podemos ver el origen del evento de destino en detalle. , contenido específico del evento, ID del evento y otra información relacionada.

Al descubrir contenido de eventos importantes, también podemos realizar algunas operaciones en él, por ejemplo, para analizar el contenido de eventos importantes a tiempo cuando estamos libres, podemos guardar los eventos importantes primero. Evite el borrado accidental al limpiar el registro. Al guardar el contenido del evento importante, simplemente hacemos clic derecho en el contenido del evento objetivo, ejecutamos desde el menú emergente emergente y guardamos el evento como el comando " Para el nombre del archivo específico, haga clic en el botón "Guardar". En el futuro, solo necesita ejecutar el comando "Guardar registro guardado" en el menú del botón derecho para llamar al archivo de registro guardado anteriormente. Si descubrimos que hay demasiados eventos almacenados en el sistema del servidor, deberíamos ejecutar periódicamente el comando "Borrar registros" en el menú del botón derecho para borrar los registros para liberar más recursos de espacio valiosos. En el caso de una gran cantidad de registros, no es fácil encontrar rápidamente el registro de eventos que desea. En este momento, podemos ejecutar el comando "Filtrar registro actual" para filtrar los registros.

Función práctica de auditoría de aplicaciones

La función de auditoría es especialmente importante para los sistemas Windows Server 2008 en entornos reales, ya que los sistemas de servidor son vulnerables a los ataques en entornos LAN y los administradores de red pueden usar las capacidades de auditoría. Rastreando y monitoreando varios ataques, cuando ocurre un evento con una amenaza potencial a la seguridad, podemos encontrar maneras de notificar al administrador de la red del evento supervisado por la función de auditoría, y el administrador de la red puede averiguar de inmediato la causa del incidente. Resuelva el problema con el medicamento correcto para proteger el sistema del servidor de ataques ilegales.

Por ejemplo, algunos troyanos a menudo crean secretamente cuentas de usuario en el sistema del servidor para robar los privilegios de superadministrador del sistema del servidor. En este punto, podemos usar la supervisión de la cuenta del usuario para determinar si hay usuarios ilegales en el sistema del servidor. Número de cuenta, y luego determinar qué cuenta de usuario es una cuenta ilegal. Se debe tener en cuenta que para que el sistema Windows Server 2008 notifique automáticamente al administrador de la red el evento creado por la cuenta ilegal, es necesario asegurarse de que el servicio del Programador de tareas del sistema correspondiente esté en un estado de funcionamiento normal.

Primero, haga clic en el comando " Start " /" Run " en el escritorio del sistema de Windows Server 2008. En el cuadro de diálogo de ejecución del sistema emergente, ejecute el comando de cadena " secpol.msc ", Abra la ventana de la consola de la política de seguridad local del sistema del servidor.
Figura 4 Auditoría Administración de la cuenta

A continuación, muestre el área en el lado izquierdo de la ventana de la consola y luego expanda " Configuración de seguridad ", " Directivas locales ", " Política de auditoría >; opción de sucursal, en el área correspondiente de la correspondiente opción de "Política de auditoría", haga doble clic en la opción de política "Auditoría de administración de cuenta" para abrir la configuración de la opción de política como se muestra en la Figura 4. En el cuadro de diálogo, seleccione la opción " success >; nbsp; failure " y luego haga clic en el botón "OK" para cerrar el cuadro de diálogo de configuración de opciones de la política, para que, independientemente del éxito de la creación de la cuenta del usuario o del error de creación, el sistema Windows Server 2008 Registre automáticamente los eventos de creación de cuentas de usuario;

Para notificar automáticamente al administrador de la red el contenido del evento de creación de cuentas de usuario, También necesitamos plan de tareas de alarma automática para la realización de eventos adicionales. Al adjuntar una tarea de alarma automática, primero hacemos clic en el comando " Inicio " /" Programas " /" Administrative >; &" Server Manager " en el escritorio del sistema Windows Server 2008 para abrir el sistema correspondiente. La ventana de la consola del Administrador del servidor; en el área izquierda de la ventana de la consola, haga clic en "Diagnóstico" //" Visor de eventos " /" Registro de Windows " /" Sistema " subelemento, y luego El evento de la cuenta de usuario se encuentra en el subelemento "Sistemas". Si no se puede encontrar el contenido del evento, también necesitamos crear manualmente una cuenta de usuario en el sistema del servidor usando el método manual, para que aparezca el evento de creación de la cuenta de usuario. En el visor de eventos.

Haga clic con el botón derecho en la cuenta de usuario para crear un evento, ejecute el comando "Agregar tarea a este evento" en el menú emergente emergente, abra el cuadro de diálogo Agregar asistente del plan de tareas y luego configure el nombre de la nueva tarea. Por ejemplo, aquí nombraremos la nueva tarea "Situación de creación automática de cuenta de usuario de alarma", cuando aparezca el cuadro de diálogo de configuración que se muestra en la Figura 5 en la pantalla, seleccione la opción "Mostrar mensaje" y luego configure la alarma. El título y el contenido, aquí configuramos el título como "Situación de creación automática de cuenta de usuario de alarma", configuramos el contenido de la alarma en "¡El sistema del servidor puede haber creado una cuenta ilegal, por favor, el administrador de la red debe manejar inmediatamente los eventos relevantes!" Finalmente, haga clic en el botón "Completar" para que el sistema Windows Server 2008 pueda informar automáticamente al administrador de la red la creación de la cuenta de usuario registrada por la función de auditoría.
Figura 5 Asistente de creación de tareas básicas

Cuando intentamos crear una cuenta de usuario en el sistema del servidor a través del modo de escritorio remoto, aparece una ventana de aviso de alarma automática en la pantalla del sistema Windows Server 2008 para avisar a la red. El administrador dijo: "Puede haber una cuenta ilegal creada en el sistema del servidor. ¡Pídale al administrador de la red que maneje el evento relevante de inmediato!" Esto significa que alguien ha creado una cuenta de usuario en el sistema del servidor. El administrador de la red automáticamente. La información de aviso de alarma puede tomar medidas para resolver los problemas relacionados la primera vez, protegiendo así el sistema del servidor Windows Server 2008 de ataques ilegales.