科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道 设置Windows NT的审计跟踪

设置Windows NT的审计跟踪

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

几乎Windows NT系统中的每一项事务都可以在一定程度上被审计,在Windows NT中可以在两个地方打开审计——Explorer 和User Manager,在Explorer中,选择【Securtiy】,再选择【Auditing】以下的【DirectoryAuditing】对话框,系统管理员可以在这个窗口选择跟踪有效的和无效的文件访问,在User Manager中,系统管理员可以根据各种用户事件的成功和失败选择审计策略,如登录和退出,文件访问,权限非法和关闭系统等。

来源:比特网 2009年6月13日

关键字: 系统安全 Windows

  • 评论
  • 分享微博
  • 分享邮件

  几乎Windows NT系统中的每一项事务都可以在一定程度上被审计,在Windows NT中可以在两个地方打开审计——Explorer 和User Manager,在Explorer中,选择【Securtiy】,再选择【Auditing】以下的【DirectoryAuditing】对话框,系统管理员可以在这个窗口选择跟踪有效的和无效的文件访问,在User Manager中,系统管理员可以根据各种用户事件的成功和失败选择审计策略,如登录和退出,文件访问,权限非法和关闭系统等。 Windows NT 是使用一种特殊的格式存放它的日志文件,这种格式的文件可以被事件查看器 EventViewer读取。事件查看器可以在Adminisrtative Tool程序组中找到。系统管理员可以使用事件查看器的【Filter】选项根据一定条件选择要查看的日志条目,查看条件包括类别、用户和消息类型。

  Windows NT在三个分开的日志文件存放了审计信息:

  Application Log:文件包括用NT SECURITY AUTHORITY注册的应用程序产生的信息;

  Security Log:包括有关通过Windows NT可识别安全提供者和客户的系统访问信息;

  System Log:包含所有系统相关事件的信息。

  Windows NT可以在Windows NT FTP连接的日志中记录FTP连接,在注册表中进行了修改后,你可以是否记录由匿名的、正常用户或者两种用户建立的连接,并可以在事件查看器中查看这些日志条目。利用Windows NT的HTTPDg事务,系统管理员可以在日志中记录对特定文件访问企图。

  微软Windows NT服务器版中自带终端服务Terminal Service是一个基于远程桌面协议(RDP)的工具,它的

  速度非常快,也很稳定,可以成为系统管理员的一个很好的远程管理软件。但是因为这个软件功能强大而且只受到密码的保护,所以也非常的危险,一旦入侵者拥有了管理员密码,就能够像操作本机一样操作远

  程服务器。虽然很多人都在使用终端服务来进行远程管理,但是,并不是人人都知道如何对终端服务进行审核,大多数的终端服务器上并没有找开终端登陆的日志。

  打开日志审核很容易:在管理工具中打开远程控制服务配置(Terminal Service Configration)单击【连接】,右击你想配置的RDP服务(比如RDP-TCP Microsoft RDP 5.0 ,选中书签【权限】,单击左下角的【高级】。看见上面那个“审核”了么?我们加入一个Everyone组,这代表所有的用户,然后审核电脑的“连接”、“断开”、“注销”的成功和“登录”的成功和失败就足够了,审 太多了反而 好。这个审核是记录在安全日志中的,可以从【管理工具】→【日志查看器】中查看。但美中不足的是:不记录客户端的IP(只能查看在线用户的IP),而是华而不实地记录什么计算机名,我们可以建立一个叫做TSLog.bat的文件,这个文件可用来记录登录者的IP地址,内容如下:

  time /t >>TSLog.lognetstat -n -p tcp | find 3389>>TSLog.logstart Explorer

  这个文件的第一行是记录用户登录的时间,“time /t”的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追用符号“>>“把这个时间记入TSLog.log作为日志的时间字段;第二行记录的是用户的IP地址,“netstat”是用来显示当前网络连接状况的命令,“-n”表示显示IP和端口而不是域名、协议,“-ptcp”是只显示TCP协议,然后我们用管道符号“|”把这个命令的结果输出给find命令,从输出结果中查找包含“ 3389”的行(这就是我们要的客户的IP所在的行,如果你更改了终端服务的端口,这个数值也要作相应的更改)。最后我们同样把这个结果重定向到日志文件 TSLog.log 中去,于是在TSLog.log文件中,记录格式如下:

  22 40 TCP 192.168.12.28 3389192.168.10.123 4903 ESTABLISHED22 54 TCP 192.168.12.28 3389192.168.12.29 1039 ESTABLISHED

  也就是说只要这个TSLog.bat一运行,所有连在3389端口上的IP都会被记录,那么如何让这个批处理文件自动运行呢?我们知道,终端服务允许我们为用户自定义起始的程序, 在终端服务配置中,我们覆盖用户的登陆脚本设置并指定TSLog.bat为用户登陆时需要找开的脚本,这样每个用户登陆后都必须执行这个脚本,因为默认的脚本(相当于shell环境)是Explorer(资源管理器),所以在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer,如果不加这一行命令,用户是没有办法进入桌面的!当然,如果只需要给用户特定的shell,例如cmd.exe或者word.exe,你也可以把start Explorer替换成任意的shell,这个脚本也可以有其他的写法,作为系统管理员,你完全右经自由发挥你的想像力、自由利用自己资源,例如:写一个脚本把每个登陆用户的IP发送到自己的信箱,对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有查看终端服务设置的权限,所以他不会知道你对登陆进行了IP审核,只要把TSLog.bat文件和TSLog.log文件放到比较隐蔽的目录里就足够了。不过,需要注意的是这只是一个简单的终端服务日志策略,并没有太多的安全保障措施和权限机制。如果服务器有更高的安全要求,那还是需要通过编程或购买入侵检测软件来完成的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章