本模塊內容
要維護真正安全的環境，只是具備安全系統還遠遠不夠。假如總假設自己不會受到攻擊，或認為防護措施已足以保護自己的安全，都將非常危險。要維護系統安全，必須進行主動監視，以檢查是否發生了入侵和攻擊。

很多方面都說明，監視和審核入侵非常重要，具體原因有：

• 所有處于運行中的計算機環境都有可能被攻擊。無論系統安全級有多高，總有面臨攻擊的風險。

• 成功的攻擊一般出現在一系列失敗攻擊后。假如不監視攻擊，您將無法在入侵者達到目的前檢測到他們。

• 一旦攻擊成功，越早發現越能減少損失。

• 為了能從攻擊中恢復，需要了解發生了什么損失。

• 審核和入侵檢測有助于確定是誰發起的攻擊。

• 審核和入侵檢測的結合使用有助于將信息進行關聯，以識別攻擊模式。

• 定期復查安全日志有助于發現未知的安全配置問題（如不正確的權限，或者不嚴格的帳戶鎖定設置）。

• 檢測到攻擊之后，審核有助于確定哪些網絡資源受到了危害。


本模塊講述如何審核環境，以便發現攻擊并跟蹤攻擊。本模塊還講述了如何監視是否發生了入侵，如何使用入侵檢測系統（入侵檢測系統是專門為發現攻擊行為而設計的軟件）。

返回頁首
目標
使用本模塊可以實現下列目標：

• 使用最佳做法在組織中進行審核。

• 保護要害日志文件，防止攻擊者干預證據。

• 結合使用被動和主動的檢測方法。

• 明確監督和監視員工要具備哪些工具和技術，以及如何在審核過程中使用這些工具和技術。


返回頁首
適用范圍
本模塊適用于下列產品和技術：

• Microsoft® Windows 2000™ 操作系統


返回頁首
如何使用本模塊
使用本模塊中的指南可啟動監視體系，該體系將主動檢測入侵和攻擊。這樣，您能在發生攻擊時及早干預，并減少該事件的影響，降低組織受到嚴重損失的風險。

為了充分理解本模塊內容，請：

• 閱讀模塊：對 Windows 2000 環境中發現的事件進行響應。


返回頁首
審核
在任何安全環境中，您都應主動監視以檢查是否發生了入侵和攻擊。假如總假設不會受到攻擊，只是將安全系統放在那里，隨后不執行任何審核工作，您將無法達到預期目標。

作為整體安全策略的一部分，您應確定適于所在環境的審核級別。審核過程應識別可能會對網絡，或風險評估中已確定的有價值資源造成威脅的各種攻擊（無論攻擊成功或失敗）。

當決定要審核多少內容時，切記審核的內容越多，生成的事件越多，發現嚴重事件就越困難。假如要審核大量內容，有必要考慮使用附加的工具來幫助篩選重要事件，這樣的工具有 Microsoft Operations Manager (MOM) 等。

審核事件可分為兩類：成功事件和失敗事件。成功事件表明用戶已成功獲得某資源的訪問權限，失敗事件表明用戶進行了嘗試，但失敗了。

失敗事件十分有助于跟蹤對環境進行的攻擊嘗試，成功事件則難以解釋。雖然絕大多數成功審核事件只表明正常的操作，但獲取了某系統訪問權限的攻擊者也會生成一個成功事件。通常，事件模式與事件本身同樣重要。例如，一系列失敗后的一次成功可能表示曾經的攻擊嘗試最終得到成功。

您應盡可能將審核事件與所擁有的相關用戶的其他信息結合使用。例如，假如用戶在休假，可選擇用戶不在時禁用其帳戶，然后在重新啟用帳戶時再審核。

如何啟用審核
使用組策略可在站點、域、組織單位 (OU) 或本地計算機級啟用審核。審核策略位于：

計算機配置\Windows 設置\安全設置\本地策略\審核策略

通常情況下，應在 Microsoft Active Directory™ 目錄服務層次的較高級實現審核，這有助于保持審核設置的一致性。Contoso 在“成員服務器”和“域控制器”OU 級都實現了審核。

查看更多 動易Cms教程  動易Cms模板