Web服务器实战三:安全策略综合应用(2)

发布时间：2017-01-02 08:39 所属栏目：52 来源：路的语言

导读：四、审核日志策略的配置系统日志对于Windows 2000的作用就如同“黑匣子”对于飞机的作用。当Windows 2000出现问题的时候，首先应该查看系统日志，通过对系统日志的分析，可以了解故障发生前系统的运行情况，作为判

    四、审核日志策略的配置

    系统日志对于Windows 2000的作用就如同“黑匣子”对于飞机的作用。当Windows 2000出现问题的时候，首先应该查看系统日志，通过对系统日志的分析，可以了解故障发生前系统的运行情况，作为判断故障原因的根据。

    通过日志不仅可以了解本机的安全性能和用户的操作情况，也可以发现系统自身的问题。Windows 2000的日志系统在默认安装下。安全审核是关闭的。—〉般情况下需要对常用的3种日志(用户登录日志、Http和ftp)进行配置。

    1、设置登录审核日志

    “开始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“审核策略”—〉双击“审核账户登录事件”—〉在复选框中选择“成功(S)，失败(F)”。

    审核事件分为成功事件和失败事件。成功事件表示一个用户成功地获得了访问某种资源的权限．而失败事件则表明用户的尝试失败。太多的失败事件可解释为攻击行为．但成功事件解释起来就比较困难。尽管大多数成功的审核事件仅表明活动是正常的，但获得了访问权的攻击者也会生成一个成功事件。例如，一系列失败事件后面跟着一个成功事件可能表示企图进行的攻击最后是成功的。对审核项进行如表1的设置，可便于日志分析。

    如果对登录事件进行审核，那么每次用户在计算机上登录或注销时，都会在安全日志中生成一个事件。可以使用事件ID对登录情况进行判断。

    A．本地登录尝试失败：下列事件ID都说明登录失败：529，530，531，532，533，534和537，如果一个攻击者试图使用本地帐户的用户名和密码但未成功，就会有529和534发生。

    B．帐户误用：事件530，531，532和533都表示帐户误用。

    C．帐户锁定：事件539表示帐户被锁定。

    D．终端服务攻击：事件683表示用户没有从“终端服务”会话注销，事件682表示用户连接到先前断开的连接中。

    2、设置HTTP审核日志

    A．设置日志的属性

    “开始”—〉“程序”—〉“管理工具”—〉“Internet服务管理器”—〉“计算机名称”选择站点名称“yyyddd”—〉右键—〉“属性”在Web选项卡中，选择“W3C扩充日志文件格式”的“属性”—〉对“常规属性”和“扩充的属性”进行设置。

    B．改日志的存放位置

    http审核日志的默认位置在安装目录的＼system32＼LogFiles下。更改日志的存放位置可以加强日志自身的安全性，方法如下。

    与上面A的操作相同，在“常规属性”选项卡中。选择“日志文件目录(L)：”的“浏览”指定一个目录后。选“确定”。

    3、设置FTP审核日志

    设置方法同http的设置基本一样。选择FTP站点。对其属性进行设置。然后修改日志的存放位置。

第1页：配置系统安全策略
第2页：审核日志策略的配置

第3页：维护安全策略应用
第4页：网页维护过程

（编辑：ASP站长网）