菜鳥(niǎo)的入門知識(shí)

1.審核策略是什么

審核策略是Windows 2000及以后版本組策略中引入的一個(gè)安全機(jī)制 。它可以用日志形式記錄系統(tǒng)中已經(jīng)被審核的事件，而系統(tǒng)管理員通過(guò)生成的日志文件，能輕易發(fā)現(xiàn)和跟蹤發(fā)生在所管理區(qū)域內(nèi)的可疑事件 。比如:誰(shuí)曾經(jīng)訪問(wèn)過(guò)哪個(gè)文件、哪些非法程序入侵了你的電腦等 。

2.如何開(kāi)啟“審核對(duì)象訪問(wèn)”策略

所有“審核策略”默認(rèn)是沒(méi)有打開(kāi)的，需要手動(dòng)開(kāi)啟 。依次打開(kāi)“控制面板→管理工具→本地安全策略”或在“開(kāi)始→運(yùn)行”中輸入“secpol.msc”，打開(kāi)組策略中的“本地安全設(shè)置”編輯器，依次定位到“本地策略→審核策略”，雙擊右側(cè)窗格中的“審核對(duì)象訪問(wèn)”，勾選“成功”或“失敗”即可(見(jiàn)圖1) 。



3.查看事件日志

設(shè)置了一則審核策略，還得通過(guò)事件查看器來(lái)獲取信息 。在“開(kāi)始→運(yùn)行”中輸入“Eventvwr.msc”，接著定位到“事件查看器→安全性”，在右側(cè)窗格中記錄了許多“成功審核”、“失敗審核”的安全性事件 。通常情況記錄的事件很多，可以對(duì)其進(jìn)行篩選，依次選擇“查看→篩選”，在“篩選器”選項(xiàng)卡下面的時(shí)間類型中只勾選“成功審核”和“失敗審核”;而“事件來(lái)源”和“類別”可根據(jù)不同的審查對(duì)象和審查內(nèi)容進(jìn)行篩選，一般情況只需要查看560事件即可(見(jiàn)圖2) 。

4.使用審核策略的前提

實(shí)行審核策略的前提，首先是安裝了Windows XP專業(yè)版(或Windows 2003)，要求審核的文件、文件夾和注冊(cè)表項(xiàng)等必須位于NTFS文件系統(tǒng)分區(qū)，其次必須如上所述打開(kāi)對(duì)象訪問(wèn)事件審核策略 。符合以上條件，就可以對(duì)特定文件或文件夾進(jìn)行審核，并且對(duì)哪些用戶或組指定哪些類型的訪問(wèn)進(jìn)行審核 。
實(shí)戰(zhàn)應(yīng)用初探

實(shí)戰(zhàn)任務(wù)1:商業(yè)間諜做了些什么？

任務(wù)描述:阿桂是一家IT公司的網(wǎng)管，最近，老板發(fā)現(xiàn)一些商業(yè)秘密不脛而走，他想在不讓員工們知道的前提下，監(jiān)控手下人什么時(shí)候訪問(wèn)過(guò)或使用了公司電腦中指定的磁盤或文件夾中的資料，比如:服務(wù)器“D:data”文件夾 。老板覺(jué)得小何最可疑，于是決定從監(jiān)視他入手 。

戰(zhàn)前分析:公司員工每人都分配有一個(gè)不同賬戶(記得不能給他們修改策略設(shè)置的權(quán)限！)，只要監(jiān)視選定賬戶或組對(duì)目標(biāo)訪問(wèn)時(shí)，需要監(jiān)視目標(biāo)的訪問(wèn)權(quán)和執(zhí)行權(quán)即可 。開(kāi)始前首先在“文件夾選項(xiàng)→查看”標(biāo)簽下取消“使用簡(jiǎn)單文件共享” 。

第一步:在“審核策略”中雙擊右側(cè)的“審核對(duì)象訪問(wèn)”，勾選“成功”，確認(rèn)操作并退出編輯器 。右擊目標(biāo)磁盤或文件夾選擇“屬性”，切換至“安全”選項(xiàng)卡，單擊“高級(jí)”，切換至“審核”標(biāo)簽 。

第二步:單擊“添加”，輸入小何使用的用戶名，因?yàn)樾『螌儆谄胀ㄓ脩艚M(users)，所以輸入“計(jì)算機(jī)名users”，單擊“確定”(見(jiàn)圖3) 。這時(shí)會(huì)彈出審核項(xiàng)目選擇窗口，因?yàn)橐O(jiān)視小何對(duì)目標(biāo)的“訪問(wèn)權(quán)和執(zhí)行ā?，因此要箛琛“遍历文件?運(yùn)行文件”(見(jiàn)圖4)，確定所有操作 。


【送你微軟原裝的“系統(tǒng)攝像頭”】

第三步:這時(shí)策略已經(jīng)完成了 ?，F(xiàn)在可以試試是否有效 。打開(kāi)事件查看器，右擊“安全性”選擇“清空所有事件”后注銷系統(tǒng) 。這時(shí)，小何登錄此系統(tǒng)，訪問(wèn)一下“D:data”并執(zhí)行其中一個(gè)文件(比如運(yùn)行了存放在該目錄底下的“MSN6.2.exe”文件) 。注銷系統(tǒng)后，阿桂用管理員身份登錄，查看一下日志，是不是清楚地記錄了剛才小何的訪問(wèn)行為(見(jiàn)圖5)？




哈哈，證據(jù)在手，小何即使再聰明，也逃不過(guò)網(wǎng)管阿桂的火眼金睛 。
實(shí)戰(zhàn)任務(wù)2:我想知道是誰(shuí)“綁架”了我的IE？

推薦閱讀

• 

  311統(tǒng)考院校有哪些
• 

  個(gè)人能力怎么寫(xiě)簡(jiǎn)短20個(gè)以內(nèi) 個(gè)人能力怎么寫(xiě)簡(jiǎn)短
• 

  鐘情于鐘情的意思是什么 鐘情于鐘情的意思是什么呢
• 

  2019全球票房 2019年的全球電影總票房
• 

  喝茶好處 喝茶只能提神嗎
• 

  活人俑電影 活人俑視頻
• 

  梔子花冬天怎么養(yǎng)，梔子花冬天怎么養(yǎng)才能安全過(guò)冬?？
• 

  汽車大燈暗什么原因
• 

  水產(chǎn)養(yǎng)殖時(shí)為什么病菌會(huì)產(chǎn)生“抗藥性”
• 

  保時(shí)捷最便宜的車是哪款
• 

  因?yàn)槟阋荒昙?jí)的作文
• 

  先手隊(duì)是什么意思,王者榮耀先手什么意思
• 

  云南怒江有幾個(gè)少數(shù)民族
• 

  出軌被發(fā)現(xiàn)后出軌男人想斷 出軌被發(fā)現(xiàn)后依然和小三聯(lián)系
• 

  長(zhǎng)鑫,存儲(chǔ)器數(shù)千億市場(chǎng)外資瓜分大半
• 

  新憲法對(duì)任期是如何規(guī)定的

• 董源善畫(huà)原文及翻譯董源的畫(huà)屬于什么畫(huà)法
• 冰心的原名是什么字什么 冰心原名叫什么名
• 酸蘿卜魚(yú)的做法
• 硫的相對(duì)原子質(zhì)量是多少整數(shù)
• 外婆菜的原材料是什么
• 綏中稀溜豆腐怎么做
• 君威火花塞什么型號(hào)
• 蒜葉變黃變干是什么原因
• 居里夫人的原名是什么 居里夫人是誰(shuí)
• 衣服上沾有鐵銹常用草酸去洗的原理