淺談Windows 7中的文件訪問審計(jì)策略

Win7之家（ airtaxifl.com）：淺談Windows 7中的文件訪問審計(jì)策略

　　在審計(jì)文件訪問策略中，可以根據(jù)需要選擇多種安全審計(jì)策略，即可以告訴操作系統(tǒng)，在發(fā)生哪些操作時(shí)將訪問的信息記入到安全日志中，包括訪問人員、訪問者的電腦、訪問時(shí)間、進(jìn)行了什么操作等等。如果將全部的訪問操作都記錄在日志中，那么日志的容量會(huì)變得很大，反而不易于后許的維護(hù)與管理。為此系統(tǒng)管理員在設(shè)置審計(jì)文件訪問策略時(shí)，往往需要選擇一些特定的事件，以減少安全訪問日志的容量。為了達(dá)到這個(gè)目的，下面的一些建議各位系統(tǒng)管理員可以參考一下。

一、最少訪問操作原則。

　　在Win7中，將這個(gè)訪問操作分為很細(xì)，如修改權(quán)限、更改所有者等等十多種訪問操作。雖然系統(tǒng)管理員需要花一定的時(shí)間去考慮該選擇哪些操作或者進(jìn)行相關(guān)的設(shè)置，但是對(duì)于系統(tǒng)管理員來說這仍然是一個(gè)福音。權(quán)限細(xì)分意味著管理員選擇特定的訪問操作之后，就可以得到最少的審核記錄。簡(jiǎn)單的說，“產(chǎn)生的審核記錄最少而且可以涵蓋用戶的安全需求”這個(gè)目標(biāo)更容易實(shí)現(xiàn)。因?yàn)樵趯?shí)際工作中，往往只需要對(duì)特定的操作進(jìn)行審計(jì)即可。如只對(duì)用戶更改文件內(nèi)容或者訪問文件等少部分操作進(jìn)行審計(jì)即可。而不需要對(duì)全部操作進(jìn)行審計(jì)。如此產(chǎn)生的審計(jì)記錄就會(huì)少的多，同時(shí)用戶的安全需求也得以實(shí)現(xiàn)。

二、失敗操作優(yōu)先選擇。

　　對(duì)于任何的操作，系統(tǒng)都分為成功與失敗兩種情況。在大部分情況下，為了收集用戶非法訪問的信息，只需要讓系統(tǒng)記入失敗事件即可。如某個(gè)用戶，其只能夠只讀訪問某個(gè)共享文件。此時(shí)管理員就可以給這個(gè)文件設(shè)置一個(gè)安全訪問策略。當(dāng)用戶嘗試更改這個(gè)文件時(shí)將這個(gè)信息記入下來。而對(duì)于其他的操作，如正常訪問時(shí)則不會(huì)記錄相關(guān)的信息。這也可以大幅度的減少安全審計(jì)記錄。所以筆者建議，一般情況下只要啟用失敗事件即可。在其不能夠滿足需求的情況下，才考慮同時(shí)啟用成功事件記錄。此時(shí)一些合法用戶合法訪問文件的信息也會(huì)被記錄下來，此時(shí)需要注意的是，安全日志中的內(nèi)容可能會(huì)成倍的增加。在Windows7操作系統(tǒng)中可以通過刷選的方式來過濾日志的內(nèi)容，如可以按“失敗事件”，讓系統(tǒng)只列出那些失敗的記錄，以減少系統(tǒng)管理員的閱讀量。

三、如何利用蜜糖策略收集非法訪問者的信息？

　　在實(shí)際工作中，系統(tǒng)管理員還可以采用一些“蜜糖策略”來收集非法訪問者的信息。什么叫做蜜糖策略（蜜罐策略）呢？其實(shí)就是在網(wǎng)絡(luò)上放點(diǎn)蜜糖，吸引一些想偷蜜的蜜蜂，并將他們的信息記錄下來。如可以在網(wǎng)絡(luò)的共享文件上，設(shè)置一些看似比較重要的文件。然后在這些文件上設(shè)置審計(jì)訪問策略。如此，就可以成功地收集那些不懷好意的非法入侵者。不過這守紀(jì)起來的信息，往往不能夠作為證據(jù)使用。而只能夠作為一種訪問的措施。即系統(tǒng)管理員可以通過這種手段來判斷企業(yè)網(wǎng)絡(luò)中是否存在著一些“不安分子”，老是試圖訪問一些未經(jīng)授權(quán)的文件，或者對(duì)某些文件進(jìn)行越權(quán)操作，如惡意更改或者刪除文件等等。知己知彼，才能夠購(gòu)百戰(zhàn)百勝。收集了這些信息之后，系統(tǒng)管理員才可以采取對(duì)應(yīng)的措施。如加強(qiáng)對(duì)這個(gè)用戶的監(jiān)控，或者檢查一下這個(gè)用戶的主機(jī)是否已經(jīng)成為了別人的肉雞等等�？傊�系統(tǒng)管理員可以利用這種機(jī)制來成功識(shí)別內(nèi)部或者外部的非法訪問者，以防止他們做出更加嚴(yán)重的破壞。

四、 注意：文件替換并不會(huì)影響原有的審計(jì)訪問策略

設(shè)置安全審計(jì)

　　如上圖中，有一個(gè)叫做捕獲的圖片文件，為其設(shè)置了文件級(jí)別的安全審計(jì)訪問，沒有在其文件夾“新建文件夾”上設(shè)置任何的安全審計(jì)訪問策略。此時(shí)，筆者如果將某個(gè)相同的文件（文件名相同且沒有設(shè)置任何的安全審計(jì)訪問策略）復(fù)制到這個(gè)文件夾中，把原先的文件覆蓋掉。注意此時(shí)將這個(gè)沒有設(shè)置任何的安全審計(jì)訪問策略。文件復(fù)制過去之后，因?yàn)橥�名�?huì)將原先的文件覆蓋掉。但是，此時(shí)這個(gè)安全審計(jì)訪問策略的話就轉(zhuǎn)移到新復(fù)制過去的那個(gè)文件上了。換句話說，現(xiàn)在新的文件有了原來覆蓋掉的那個(gè)文件的安全審計(jì)訪問權(quán)限。這是一個(gè)很奇怪的現(xiàn)象，筆者也是在無意之中發(fā)現(xiàn)。不知道這是Windows7操作系統(tǒng)的一個(gè)漏洞呢，還是其故意這么設(shè)置的？這有待微軟操作系統(tǒng)的開發(fā)者來解釋了。