Vista系統下Windows審核功能的應用

　　1、啟用審核的策略

　　所謂的審核就是跟蹤，啟用相應的審核功能后系統就會跟蹤並記錄事件的過程，方便管理員查看。利用審核功能，我們不僅可以監視用戶在計算機上進行的操作，還可以根據系統運行狀態對故障進行排除。但是，開啟了審核就會降低系統的性能，因為系統為此需要耗費一部分資源用於記錄和存儲事件。因此，我們在啟用審核時要根據需要制訂審核策略。

　　作為管理員需要明確以下幾個方面：需要對哪些內容進行審核;是否合理設置了審核策略;哪些用戶有權訪問日誌;由誰了負責收集和歸檔日誌;日誌備份的相關工作如何進行;日誌丟失后如何處理;日誌保存和審查的周期;審查日誌需要用到的工具和措施;在日誌中發現安全問題后如何處理等。只有這樣才能在審核好系統性能之間取得一個平衡。

　　2、配置審核策略

　　審核是對具體事件的過程進行監視和記錄，因此會將結果保存到系統的事件日誌中。當然，除非開啟了相應的審核功能，否則Windows Vista不會記錄安全日誌。開啟審核功能的方法是：依次單擊「開始」→「控制面板」→「系統和維護」→「管理工具」，打開「本地安全策略」控制台。然後在「本地策略」→「審核策略」中找到相應的審核策略。

　　在Vista中可啟用的審核策略有9項之多，比如「審核特權使用」，用來記錄用戶在系統操作過程中行使除登錄、註銷和網路之外的許可權。「審核帳戶管理」，記錄用戶帳戶的創建、刪除、更改等事件。「審核進程跟蹤」，跟蹤並記錄進程的後台運行，例如程序的激活，handle句柄的複製和對文件管理資源的訪問等。啟用各種審核策略的方法類似，至於啟用什麼樣的審核策略，要根據自己安全需要進行選擇。(圖1)



圖1 Vista本地安全策略

　　例如要審核登錄事件，只需雙擊打開該策略，然後勾選審核包括事件的成功和失敗，最後單擊「定」即可。這樣Windows Vista就可以開始審核本地所有用戶帳戶的登錄事件，包括用戶成功登錄和登錄失敗，這樣有利用發現系統是否被非法登錄並被入侵。

　　3、查看審核報告

　　在啟用了審核策略后，系統就會在系統的日誌中記錄相關的事件。如果要查看日誌，就需要通過「事件查看器」來進行查看，依次單擊「開始」→「控制面板」→「系統和維護」→「管理工具」，打開「事件查看器」控制台，在「Windows 日誌」下分別有「應用程序」、「安全」、「安裝程序」、「系統」、「轉發事件」等多個類別，單擊不同類別可以在中間的窗格中查看到所有該類別的事件記錄。雙擊某個事件記錄，可以打開該記錄的詳細信息窗口，用戶便可以了解該事件的來源和發生事件、事件ID等。

　　右擊某一類的事件日誌，可以對其日誌進行一些操作。例如，我們可以選擇「將事件另存為」來導出該類別的事件日誌;選擇「打開保存的日誌」，用於導入已存在的事件日誌;如果日誌記錄太多，為了釋放更多的空間，我們可以選擇「清除日誌」選項來清除所有記錄;而管理員需要在眾多的記錄中找到自己所需的信息，可以藉助「篩選當前日誌」功能，根據事件級別、事件ID、關鍵字、用戶等信息進行篩選。

　　4、監控文件訪問

　　文件監控在現實環境中非常實用，比如管理員設置了一個共享文件夾，但被人改得面目全非，我們就可以通過文件夾監控來確定到底是哪些用戶對文件夾進行了操作，然後進一步確定是哪個用戶做的。需要說明的是，文件或者文件夾的監控是基於NTFS文件系統，所以分區格式必須是這種格式。

　　首先在「本地安全策略」中啟用「審核對象訪問」策略，為了準確定位，我們可以只對「成功」事件進行記錄。然後定位到需要監控的文件夾，右鍵點擊選擇「屬性」，在「安全」選項卡中單擊「高級」按鈕，接著選擇「審核」選項卡單擊「繼續」按鈕，在打開的窗口中單擊「添加」按鈕，輸入要添加審核的用戶帳戶或用戶組的名稱。然後在「審核項目」面板中勾選需要監控的操作，包括創建文件/寫入數據、刪除等。如果要監控用戶的所有操作可以選擇「完全控制」。最後單擊「確定」按鈕，即可完成審核的設置。

　　這樣系統會將指定的事件記錄在系統日誌中，我們可以通過「時間查看器」的「Windows 日誌」→「安全」中查看到相關的記錄。當然，此時的事件記錄是非常多的，我們可以通過「篩選器」進行篩選。右鍵點擊左側的「安全」選擇「篩選當前日誌」打開篩選窗口。在「篩選器」選項卡下進行篩選設置，因為我們要查看是拷貝的文件「事件來源選擇」就選擇「Security-Auditing」，「任務類別」選擇「文件系統」，「事件ID」輸入「4656」所示，然後「確定」退出。這時候，在「事件查看器」右邊列出的就是每一次讀取數據的信息了。雙擊每一項目可查看詳細信息，注意帶有 Object Type: File 的項目才是對文件的訪問。我們雙擊打開就可以看到hacker用戶就fr文件夾進行的拷貝操作。

　　總結：本文只以文件監控為例演示了Vista「審核」功能在系統安全方面的應用，其實它的應用是非常廣泛的。不過，其使用方法類似，一般是先啟用想要的「審核」策略，然後通過「事件查看器」進行查看。當然，靈活應用「篩選器」可以幫助我們快速定位到我們需要查看的項目。