通过Windows审核功能进行入侵分析

为了系统的安全以及对敏感资源的保护，系统管理员可利用Windows系统提供的审核功能跟踪计算机上的用户和操作系统活动的过程。当一个安全事件发生以后，Windows系统即可在安全日志中写入一个事件记录，以便事后的分析和诊断。
通过建立安全审核策略，使得计算机能够进行下述操作：

跟踪事件的成功和失败。如试图登录、试图建立或修改某个用户帐户或组成员资格、试图访问特定用户指定机密文件、以及试图修改系统的安全设置等。

将未授权访问的风险降至最低。

维护相关用户和系统管理员活动事件的记录。

建立审核策略

在系统中要设置审核的事件前，必须要建立审核策略。然后才能对系统的相关安全事件（如登录、文件及打印资源的访问等）进行审核。
在建立审核策略时，需要确定网络中那些计算机需要实施审核功能以及在其上要审核的事件类型。因为过多类型的审核事件会造成系统过量的开销，从而降低了系统性能。所以在一般情况下，只需针对有一定系统安全要求级别的计算机实施审核策略，而且在实施过程中只审核哪些与系统安全性密切相关的某些特定事件，并确定审核成功还是失败的事件。如果需要使用情况的发展趋势，则还需要编制事件日志的归档计划，以便定期或当安全事件发生后进行查阅和分析。
 
现在我们以一个入侵分析为例建立一个审核策略。步骤如下：
1、以管理员身份登录到一台运行Windows 2000以上版本的计算机中，选择【开始】
=> 【运行】，然后输入gpedit.msc命令。通过这个命令我们可以打开组策略编辑器。
2、在【组策略】管理控制台中，展开【计算机配置】 =>
【Windows设置】=>
【安全设置】=> 【本地策略】=>
【审核】。在右边的窗口中，我们可以看到可以设置的审核事件。在本例中按如图所示进行审核事件的设置。设置完毕关闭所有窗口。

审核对资源的访问

在前面已建立好了安全审核策略，下一步就要针对一些企业的一些重要资源如文件、打印或一些重要的数据建立审核，以便在发生违反安全的事件时向管理员进行报警。
现在我们对计算机上的一个重要文件建立审核。步骤如下：
1、以管理员身份进入存放在一个NTFS文件系统分区中的文件夹，选中一个文件，然后在其右键菜单中选择【属性】。如下图所示。


2、在出现的文件属性对话框中，选择【安全】选项卡，然后单击【高级（V）…】按钮。如图所示。



3、在出现的【Security data的访问控制设置】对话框中，选择【审核】选项卡，然后单击【添加（D）…】按钮，在出现的审核项目中作如图所示的项目设置。

通过安全日志分析可能的入侵行为

当设置好安全策略以及对相关资源作了审核事件后，管理员应安排时间表和定期复查安全日志，以即时发现违反安全的事件以及入侵行为。
分析步骤如下：
1、以管理员身份登录设置了审核功能的计算机上，选择【开始】
=> 【程序】=>
【管理工具】=>
【事件查看器】。然后在事件查看器窗口中选择【安全日志】。从右边的详细窗格中，我们可以看到审核的类型、时间、分类、以及登录用户等事件。如图所示。



2、选中详细窗格中的一个登录失败事件，可以看到一个试图以管理员身份登录的事件记录。如图所示。



3、选中详细窗格中的一个对象访问成功事件，可以看到一个试图以管理员身份登录的事件记录。如图所示。



4、为了更好的分析审核事件，也可以将日志导出用专门的日志分析工具进行分析。（略）
 
本文转自：http://lgzeng2360.blog.51cto.com/275998/58331/