Web服务器实战三:安全策略综合应用(2)
四、审核日志策略的配置 系统日志对于Windows 2000的作用就如同“黑匣子”对于飞机的作用。当Windows 2000出现问题的时候,首先应该查看系统日志,通过对系统日志的分析,可以了解故障发生前系统的运行情况,作为判断故障原因的根据。 通过日志不仅可以了解本机的安全性能和用户的操作情况,也可以发现系统自身的问题。Windows 2000的日志系统在默认安装下。安全审核是关闭的。—〉般情况下需要对常用的3种日志(用户登录日志、Http和ftp)进行配置。 1、设置登录审核日志 “开始”—〉“程序”—〉“管理工具”—〉“本地安全策略”—〉“本地策略”—〉“审核策略”—〉双击“审核账户登录事件”—〉在复选框中选择“成功(S),失败(F)”。 审核事件分为成功事件和失败事件。成功事件表示一个用户成功地获得了访问某种资源的权限.而失败事件则表明用户的尝试失败。太多的失败事件可解释为攻击行为.但成功事件解释起来就比较困难。尽管大多数成功的审核事件仅表明活动是正常的,但获得了访问权的攻击者也会生成一个成功事件。例如,一系列失败事件后面跟着一个成功事件可能 表示企图进行的攻击最后是成功的。对审核项进行如表1的设置,可便于日志分析。 如果对登录事件进行审核,那么每次用户在计算机上登录或注销时,都会在安全日志中生成一个事件。可以使用事件ID对登录情况进行判断。
(编辑:ASP站长网) |