通过Windows审核功能进行入侵分析
2008-01-07 15:59
267 查看
为了系统的安全以及对敏感资源的保护,系统管理员可利用Windows系统提供的审核功能跟踪计算机上的用户和操作系统活动的过程。当一个安全事件发生以后,Windows系统即可在安全日志中写入一个事件记录,以便事后的分析和诊断。
通过建立安全审核策略,使得计算机能够进行下述操作:[/i]
跟踪事件的成功和失败。如试图登录、试图建立或修改某个用户帐户或组成员资格、试图访问特定用户指定机密文件、以及试图修改系统的安全设置等。
将未授权访问的风险降至最低。
维护相关用户和系统管理员活动事件的记录。
在建立审核策略时,需要确定网络中那些计算机需要实施审核功能以及在其上要审核的事件类型。因为过多类型的审核事件会造成系统过量的开销,从而降低了系统性能。所以在一般情况下,只需针对有一定系统安全要求级别的计算机实施审核策略,而且在实施过程中只审核哪些与系统安全性密切相关的某些特定事件,并确定审核成功还是失败的事件。如果需要使用情况的发展趋势,则还需要编制事件日志的归档计划,以便定期或当安全事件发生后进行查阅和分析。
现在我们以一个入侵分析为例建立一个审核策略。步骤如下:
1、以管理员身份登录到一台运行Windows 2000以上版本的计算机中,选择【开始】 => 【运行】,然后输入gpedit.msc命令。通过这个命令我们可以打开组策略编辑器。
2、在【组策略】管理控制台中,展开【计算机配置】 => 【Windows设置】=> 【安全设置】=> 【本地策略】=> 【审核】。在右边的窗口中,我们可以看到可以设置的审核事件。在本例中按如图所示进行审核事件的设置。设置完毕关闭所有窗口。
现在我们对计算机上的一个重要文件建立审核。步骤如下:
1、以管理员身份进入存放在一个NTFS文件系统分区中的文件夹,选中一个文件,然后在其右键菜单中选择【属性】。如下图所示。
2、在出现的文件属性对话框中,选择【安全】选项卡,然后单击【高级(V)…】按钮。如图所示。
3、在出现的【Security data的访问控制设置】对话框中,选择【审核】选项卡,然后单击【添加(D)…】按钮,在出现的审核项目中作如图所示的项目设置。
分析步骤如下:
1、以管理员身份登录设置了审核功能的计算机上,选择【开始】 => 【程序】=> 【管理工具】=> 【事件查看器】。然后在事件查看器窗口中选择【安全日志】。从右边的详细窗格中,我们可以看到审核的类型、时间、分类、以及登录用户等事件。如图所示。
2、选中详细窗格中的一个登录失败事件,可以看到一个试图以管理员身份登录的事件记录。如图所示。
3、选中详细窗格中的一个对象访问成功事件,可以看到一个试图以管理员身份登录的事件记录。如图所示。
4、为了更好的分析审核事件,也可以将日志导出用专门的日志分析工具进行分析。(略)
通过建立安全审核策略,使得计算机能够进行下述操作:[/i]
跟踪事件的成功和失败。如试图登录、试图建立或修改某个用户帐户或组成员资格、试图访问特定用户指定机密文件、以及试图修改系统的安全设置等。
将未授权访问的风险降至最低。
维护相关用户和系统管理员活动事件的记录。
建立审核策略
在系统中要设置审核的事件前,必须要建立审核策略。然后才能对系统的相关安全事件(如登录、文件及打印资源的访问等)进行审核。在建立审核策略时,需要确定网络中那些计算机需要实施审核功能以及在其上要审核的事件类型。因为过多类型的审核事件会造成系统过量的开销,从而降低了系统性能。所以在一般情况下,只需针对有一定系统安全要求级别的计算机实施审核策略,而且在实施过程中只审核哪些与系统安全性密切相关的某些特定事件,并确定审核成功还是失败的事件。如果需要使用情况的发展趋势,则还需要编制事件日志的归档计划,以便定期或当安全事件发生后进行查阅和分析。
现在我们以一个入侵分析为例建立一个审核策略。步骤如下:
1、以管理员身份登录到一台运行Windows 2000以上版本的计算机中,选择【开始】 => 【运行】,然后输入gpedit.msc命令。通过这个命令我们可以打开组策略编辑器。
2、在【组策略】管理控制台中,展开【计算机配置】 => 【Windows设置】=> 【安全设置】=> 【本地策略】=> 【审核】。在右边的窗口中,我们可以看到可以设置的审核事件。在本例中按如图所示进行审核事件的设置。设置完毕关闭所有窗口。
审核对资源的访问
在前面已建立好了安全审核策略,下一步就要针对一些企业的一些重要资源如文件、打印或一些重要的数据建立审核,以便在发生违反安全的事件时向管理员进行报警。现在我们对计算机上的一个重要文件建立审核。步骤如下:
1、以管理员身份进入存放在一个NTFS文件系统分区中的文件夹,选中一个文件,然后在其右键菜单中选择【属性】。如下图所示。
2、在出现的文件属性对话框中,选择【安全】选项卡,然后单击【高级(V)…】按钮。如图所示。
3、在出现的【Security data的访问控制设置】对话框中,选择【审核】选项卡,然后单击【添加(D)…】按钮,在出现的审核项目中作如图所示的项目设置。
通过安全日志分析可能的入侵行为
当设置好安全策略以及对相关资源作了审核事件后,管理员应安排时间表和定期复查安全日志,以即时发现违反安全的事件以及入侵行为。分析步骤如下:
1、以管理员身份登录设置了审核功能的计算机上,选择【开始】 => 【程序】=> 【管理工具】=> 【事件查看器】。然后在事件查看器窗口中选择【安全日志】。从右边的详细窗格中,我们可以看到审核的类型、时间、分类、以及登录用户等事件。如图所示。
2、选中详细窗格中的一个登录失败事件,可以看到一个试图以管理员身份登录的事件记录。如图所示。
3、选中详细窗格中的一个对象访问成功事件,可以看到一个试图以管理员身份登录的事件记录。如图所示。
4、为了更好的分析审核事件,也可以将日志导出用专门的日志分析工具进行分析。(略)
相关文章推荐
- 通过Windows审核功能进行入侵分析
- 通过Win7磁盘配额功能对NTFS磁盘空间进行限制巧防黑客入侵
- C也可以通过精心封装某些函数功能实现重用,那C++的类有什么优点吗(从面向对象的三大属性进行分析)
- 今天通过对HDWiki程序代码分析进行啦head部分的搜索SEO
- 在Windows Mobile和Wince(Windows Embedded CE)下使用.NET Compact Framework进行GPS NMEA data数据分析的开发
- appstore审核的那些事 --1. 卡死在:正在通过 iTunes Store进行鉴定
- 通过JVM日志来进行安全点分析
- 安装SQL Server 2012过程中出现“启用windows功能NetFx3时出错”(错误原因、详细分析及解决方法)以及在Windows Server2012上安装.NET Framework 3
- 通过Nginx訪问FastDFS文件系统并进行图片文件裁剪的性能測试和分析
- 《Spark商业案例与性能调优实战100课》第13课:商业案例之纯粹通过DataSet进行电商交互式分析系统中特定时段段访问次数TopN
- 系统遭受入侵后使用TCT进行紧急恢复并分析
- 通过注册表regedit对Windows回收站进行恢复
- 一个通过异常处理进行验证的crackme分析
- 逻辑回归(Logistic Regression, LR)又称为逻辑回归分析,是分类和预测算法中的一种。通过历史数据的表现对未来结果发生的概率进行预测。例如,我们可以将购买的概率设置为因变量,将用户的
- ubuntu和windows之间通过一根网线进行数据传输
- 使用谷歌开源组件tesseract-OCR识别身份证,通过opencv处理图像后再进行识别(windows版本)
- 通过对日志中UA进行统计分析用户大致的浏览器分布
- Cordova webapp实战开发:(7)如何通过简单的方法做到,不重新发布APP来修复bug、增加功能、或者躲开苹果的一些严格审核?
- (转摘)_《数据库设计入门经典》:通过分析进行规划与准备_9.3 理论应用于实践
- 巧用Windows注册表进行计算机司法取证分析工作