通过Windows审核功能进行入侵分析
2013-03-31 09:39
148 查看
为了系统的安全以及对敏感资源的保护,系统管理员可利用Windows系统提供的审核功能跟踪计算机上的用户和操作系统活动的过程。当一个安全事件发生以后,Windows系统即可在安全日志中写入一个事件记录,以便事后的分析和诊断。
通过建立安全审核策略,使得计算机能够进行下述操作:
跟踪事件的成功和失败。如试图登录、试图建立或修改某个用户帐户或组成员资格、试图访问特定用户指定机密文件、以及试图修改系统的安全设置等。
将未授权访问的风险降至最低。
维护相关用户和系统管理员活动事件的记录。
在建立审核策略时,需要确定网络中那些计算机需要实施审核功能以及在其上要审核的事件类型。因为过多类型的审核事件会造成系统过量的开销,从而降低了系统性能。所以在一般情况下,只需针对有一定系统安全要求级别的计算机实施审核策略,而且在实施过程中只审核哪些与系统安全性密切相关的某些特定事件,并确定审核成功还是失败的事件。如果需要使用情况的发展趋势,则还需要编制事件日志的归档计划,以便定期或当安全事件发生后进行查阅和分析。
现在我们以一个入侵分析为例建立一个审核策略。步骤如下:
1、以管理员身份登录到一台运行Windows 2000以上版本的计算机中,选择【开始】
=> 【运行】,然后输入gpedit.msc命令。通过这个命令我们可以打开组策略编辑器。
2、在【组策略】管理控制台中,展开【计算机配置】 =>
【Windows设置】=>
【安全设置】=> 【本地策略】=>
【审核】。在右边的窗口中,我们可以看到可以设置的审核事件。在本例中按如图所示进行审核事件的设置。设置完毕关闭所有窗口。
现在我们对计算机上的一个重要文件建立审核。步骤如下:
1、以管理员身份进入存放在一个NTFS文件系统分区中的文件夹,选中一个文件,然后在其右键菜单中选择【属性】。如下图所示。
2、在出现的文件属性对话框中,选择【安全】选项卡,然后单击【高级(V)…】按钮。如图所示。
3、在出现的【Security data的访问控制设置】对话框中,选择【审核】选项卡,然后单击【添加(D)…】按钮,在出现的审核项目中作如图所示的项目设置。
分析步骤如下:
1、以管理员身份登录设置了审核功能的计算机上,选择【开始】
=> 【程序】=>
【管理工具】=>
【事件查看器】。然后在事件查看器窗口中选择【安全日志】。从右边的详细窗格中,我们可以看到审核的类型、时间、分类、以及登录用户等事件。如图所示。
2、选中详细窗格中的一个登录失败事件,可以看到一个试图以管理员身份登录的事件记录。如图所示。
3、选中详细窗格中的一个对象访问成功事件,可以看到一个试图以管理员身份登录的事件记录。如图所示。
4、为了更好的分析审核事件,也可以将日志导出用专门的日志分析工具进行分析。(略)
本文转自:http://lgzeng2360.blog.51cto.com/275998/58331/
通过建立安全审核策略,使得计算机能够进行下述操作:
跟踪事件的成功和失败。如试图登录、试图建立或修改某个用户帐户或组成员资格、试图访问特定用户指定机密文件、以及试图修改系统的安全设置等。
将未授权访问的风险降至最低。
维护相关用户和系统管理员活动事件的记录。
建立审核策略
在系统中要设置审核的事件前,必须要建立审核策略。然后才能对系统的相关安全事件(如登录、文件及打印资源的访问等)进行审核。在建立审核策略时,需要确定网络中那些计算机需要实施审核功能以及在其上要审核的事件类型。因为过多类型的审核事件会造成系统过量的开销,从而降低了系统性能。所以在一般情况下,只需针对有一定系统安全要求级别的计算机实施审核策略,而且在实施过程中只审核哪些与系统安全性密切相关的某些特定事件,并确定审核成功还是失败的事件。如果需要使用情况的发展趋势,则还需要编制事件日志的归档计划,以便定期或当安全事件发生后进行查阅和分析。
现在我们以一个入侵分析为例建立一个审核策略。步骤如下:
1、以管理员身份登录到一台运行Windows 2000以上版本的计算机中,选择【开始】
=> 【运行】,然后输入gpedit.msc命令。通过这个命令我们可以打开组策略编辑器。
2、在【组策略】管理控制台中,展开【计算机配置】 =>
【Windows设置】=>
【安全设置】=> 【本地策略】=>
【审核】。在右边的窗口中,我们可以看到可以设置的审核事件。在本例中按如图所示进行审核事件的设置。设置完毕关闭所有窗口。
审核对资源的访问
在前面已建立好了安全审核策略,下一步就要针对一些企业的一些重要资源如文件、打印或一些重要的数据建立审核,以便在发生违反安全的事件时向管理员进行报警。现在我们对计算机上的一个重要文件建立审核。步骤如下:
1、以管理员身份进入存放在一个NTFS文件系统分区中的文件夹,选中一个文件,然后在其右键菜单中选择【属性】。如下图所示。
2、在出现的文件属性对话框中,选择【安全】选项卡,然后单击【高级(V)…】按钮。如图所示。
3、在出现的【Security data的访问控制设置】对话框中,选择【审核】选项卡,然后单击【添加(D)…】按钮,在出现的审核项目中作如图所示的项目设置。
通过安全日志分析可能的入侵行为
当设置好安全策略以及对相关资源作了审核事件后,管理员应安排时间表和定期复查安全日志,以即时发现违反安全的事件以及入侵行为。分析步骤如下:
1、以管理员身份登录设置了审核功能的计算机上,选择【开始】
=> 【程序】=>
【管理工具】=>
【事件查看器】。然后在事件查看器窗口中选择【安全日志】。从右边的详细窗格中,我们可以看到审核的类型、时间、分类、以及登录用户等事件。如图所示。
2、选中详细窗格中的一个登录失败事件,可以看到一个试图以管理员身份登录的事件记录。如图所示。
3、选中详细窗格中的一个对象访问成功事件,可以看到一个试图以管理员身份登录的事件记录。如图所示。
4、为了更好的分析审核事件,也可以将日志导出用专门的日志分析工具进行分析。(略)
本文转自:http://lgzeng2360.blog.51cto.com/275998/58331/
相关文章推荐
- 通过Windows审核功能进行入侵分析
- 通过Win7磁盘配额功能对NTFS磁盘空间进行限制巧防黑客入侵
- C也可以通过精心封装某些函数功能实现重用,那C++的类有什么优点吗(从面向对象的三大属性进行分析)
- Windows 7系统开启wifi功能的方法及手机通过WIFI给电脑关机
- WCF寄存于Windows服务,通过Form进行调用
- windows下使用MYSQL的mysqldumpslow进行慢日志分析
- (转摘)_《数据库设计入门经典》:通过分析进行规划与准备_9.4 项目管理
- 系统遭受入侵后使用TCT进行紧急恢复并分析
- Zabbix通过mtr进行网络分析
- 通过百度统计进行数据分析
- [功能改进]通过WindowsLiveWriter上传图片
- 通过模拟键盘调出“打开或关闭WINDOWS功能”窗口
- Windows Azure Cloud Service (21) 通过远程桌面功能访问Windows Azure 计算节点
- Xcode7.3下如何分析线上(已通过AppStore审核)IOS应用的崩溃日志
- 使用python中的结巴分词作词云图,对微信功能点进行辅助分析
- [转载][功能改进]通过WindowsLiveWriter上传图片
- 在本机windows下,通过eclispe连接到linux虚拟机上安装好的haoop,进行开发调试
- iOS开发工具-如何使用网络封包分析工具Charles,通过配置proxy对http、https、tcp、udp 等协议的请求响应过程交互信息进行分析、判断、解决我们移动开发中的遇到的各种实际问题。
- Quartus2 通过Nativelink调用modelsim进行功能仿真(转载)
- 基于visual c++之windows核心编程代码分析(17)通过pipe进程间通信