La función de "auditoría" es como el barómetro de Windows, según el cual podemos entender cada movimiento de la computadora, y podemos usar esta información para mantener la seguridad del sistema informático y solucionar problemas. En Vista, la función de "auditoría" es más poderosa que nunca, y este artículo tratará su aplicación en Vista. 1. Habilitación de la estrategia de auditoría El seguimiento de la llamada auditoría. Después de habilitar la función de auditoría correspondiente, el sistema rastreará y registrará el proceso de eventos para que el administrador lo vea. Con la función de auditoría, no solo podemos monitorear las operaciones realizadas por el usuario en la computadora, sino también eliminar la falla de acuerdo con el estado operativo del sistema. Sin embargo, activar la auditoría degradará el rendimiento del sistema porque el sistema consume una parte de los recursos para registrar y almacenar eventos. Por lo tanto, necesitamos desarrollar una estrategia de auditoría según sea necesario cuando la auditoría está habilitada. Como administrador, debe tener claros los siguientes aspectos: qué contenido debe revisarse, si la política de auditoría está bien establecida, qué usuarios tienen acceso al registro, quién es el responsable de recopilar y archivar los registros, cómo funciona la copia de seguridad del registro; Cómo lidiar con eso, el período de guardado y revisión de registros, las herramientas y medidas necesarias para revisar el registro, cómo lidiar con el problema de seguridad después de que se encuentre el registro. Solo de esta manera podemos lograr un equilibrio entre la revisión del rendimiento del sistema. 2, estrategia de auditoría de configuración La auditoría es monitorear y registrar el proceso de eventos específicos, por lo que los resultados se guardarán en el registro de eventos del sistema. Por supuesto, Windows Vista no registra los registros de seguridad a menos que la función de auditoría adecuada esté activada. Para habilitar la auditoría, abra la consola de Política de seguridad local haciendo clic en Inicio → Panel de control → Sistema y mantenimiento → Herramientas administrativas. Luego encuentre la política de auditoría apropiada en Políticas locales → Política de auditoría. Hay 9 políticas de auditoría que se pueden habilitar en Vista, como el "uso del privilegio de auditoría", que se usa para registrar la autoridad del usuario para realizar operaciones distintas al inicio de sesión, cierre de sesión y red durante la operación del sistema. La administración de cuentas de auditoría registra eventos como la creación, eliminación y cambios en las cuentas de usuario. "Audit Process Tracking" realiza un seguimiento y registra las operaciones en segundo plano del proceso, como la activación de programas, la copia de los manejadores y el acceso a los recursos de administración de archivos. Los métodos para habilitar varias políticas de auditoría son similares. En cuanto a qué políticas de auditoría están habilitadas, deben seleccionarse de acuerdo con sus propias necesidades de seguridad.
(Figura 1)
Por ejemplo, para auditar el evento de inicio de sesión, simplemente haga doble clic para abrir la política, luego verifique el éxito y el fracaso de la auditoría, incluido el evento, y finalmente haga clic en "Reparar". De esta manera, Windows Vista puede comenzar a auditar los eventos de inicio de sesión de todas las cuentas de usuarios locales, incluido el inicio de sesión exitoso del usuario y la falla de inicio de sesión, para que el uso del sistema de descubrimiento se registre y se piratee ilegalmente.
(Figura 2)
3, vea el informe de auditoría Después de habilitar la política de auditoría, el sistema registrará los eventos relevantes en el registro del sistema. Si desea ver el registro, debe verlo a través del Visor de eventos, haga clic en Inicio → Panel de control → Sistema y mantenimiento → Herramientas administrativas para abrir la consola del Visor de eventos. En los registros de Windows, hay varias categorías, como Aplicación, Seguridad, Instalador, Sistema y Evento de reenvío. Haga clic en diferentes categorías para ver todas las categorías en el panel central. Registro de eventos. Haga doble clic en un registro de evento para abrir la ventana de detalles del registro, y el usuario puede conocer la fuente del evento y el evento, la identificación del evento, etc. Haga clic derecho en un cierto tipo de registro de eventos para realizar algunas operaciones en su registro. Por ejemplo, podemos seleccionar "Guardar evento como" para exportar el registro de eventos para esta categoría, seleccionar "Abrir registro guardado" para importar el registro de eventos existente; si hay demasiados registros para liberar más espacio, Puede seleccionar la opción "Borrar registros" para borrar todos los registros; el administrador debe encontrar la información que necesita en un gran número de registros, con la ayuda de la función "Filtrar registro actual", basada en el nivel de evento, ID de evento, palabra clave, usuario, etc. Proyección (Figura 3)
4, la supervisión de acceso a archivos la supervisión de archivos es muy práctica en el mundo real, como el administrador configuró una carpeta compartida, pero se cambió más allá del reconocimiento, podemos usar la supervisión de carpetas para determinar cuál El usuario opera en la carpeta y luego determina qué usuario lo hizo. Debe tenerse en cuenta que la supervisión de archivos o carpetas se basa en el sistema de archivos NTFS, por lo que el formato de partición debe tener este formato. Primero, habilite la política de "acceso a objetos de auditoría" en la "política de seguridad local", para ubicar con precisión, solo podemos registrar el evento "éxito". Luego navegue a la carpeta que desea monitorear, haga clic derecho y seleccione "Propiedades", haga clic en el botón "Avanzado" en la pestaña "Seguridad", luego seleccione la pestaña "Auditoría" y haga clic en el botón "Continuar", en la ventana que se abre Haga clic en el botón Agregar e ingrese el nombre de la cuenta de usuario o grupo de usuarios al que desea agregar la auditoría. Luego marque las acciones que desea monitorear en el panel Elementos de auditoría, incluida la creación de archivos /escritura de datos, la eliminación y más. Puede seleccionar Control total si desea monitorear todas las acciones del usuario. Finalmente, haga clic en el botón "Aceptar" para completar la configuración de auditoría.
(Figura 4)
Este sistema registrará los eventos especificados en el registro del sistema, podemos ver los registros relevantes a través del "Registro de Windows" → "Seguridad" del Visor de tiempo. Por supuesto, el registro de eventos en este momento es mucho, podemos filtrar a través del "filtro". Haga clic derecho en "Seguridad" a la izquierda y seleccione "Filtrar registro actual" para abrir la ventana de filtro. Configuración de filtro en la pestaña "Filtro", porque queremos ver el archivo copiado "Selección de origen de evento", seleccione "Auditoría de seguridad", "Categoría de tarea" seleccione "Sistema de archivos", "ID de evento", ingrese "4656 "Show" y luego "OK" para salir. En este momento, lo que se enumera en el lado derecho del Visor de eventos es la información para cada lectura de datos. Haga doble clic en cada elemento para ver los detalles, teniendo en cuenta que los elementos con Tipo de objeto: Archivo son acceso al archivo. Podemos hacer doble clic para abrir el usuario hacker para copiar la carpeta fr.
(Figura 5)
Resumen: Este artículo solo usa la supervisión de archivos como ejemplo para demostrar la aplicación de la función de "auditoría" de Vista en la seguridad del sistema. De hecho, su aplicación es muy extensa. Sin embargo, se usa de manera similar. Generalmente, primero activa la política de "auditoría" deseada y luego la ve a través del Visor de eventos. Por supuesto, la aplicación flexible de "filtros" puede ayudarnos a localizar rápidamente los elementos que necesitamos ver.