【正文】 由 4部分構(gòu)成 ? 登錄過程（ Logon Process， LP）：接受本地用戶或者遠(yuǎn)程用戶的登錄請(qǐng)求，處理用戶信息，為用戶做一些初始化工作。 ? 安全引用監(jiān)視器（ Security Reference Monitor， SRM）：檢查存取合法性，防止非法存取和修改。安全標(biāo)識(shí)和賬號(hào)惟一對(duì)應(yīng)，在賬號(hào)創(chuàng)建時(shí)創(chuàng)建，賬號(hào)刪除時(shí)刪除，而且永不再用。工作站為用戶生成一個(gè)進(jìn)程。 ? （ 4）訪問對(duì)象控制。 %systemroot%\system32\config\ ? 安全日志： 包括有關(guān)通過 NT可識(shí)別安全提供者和客戶的系統(tǒng)訪問信息。 ? 在 User manager中，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計(jì)策略，如登錄和退出、文件訪問、權(quán)限非法和關(guān)閉系統(tǒng)等。查看條件包括類別、用戶和消息類型。 記錄頭 數(shù)據(jù) 時(shí)間 用戶名 計(jì)算機(jī)名 事件 ID 源 類型 種類 事件 描述 可變內(nèi)容，依賴于事件，可以是問題的文本解釋和糾正措施的建議 附加 數(shù)據(jù) 附加域。 ? 當(dāng)系統(tǒng)開始運(yùn)行時(shí)，系統(tǒng)和應(yīng)用事件日志也自動(dòng)開始。要啟用安全審計(jì)的功能，只需在“規(guī)則”菜單下選擇“審計(jì)”，然后通過查看 NT記錄的安全事件日志中的安全性事件，即可以跟蹤所選用戶的操作。創(chuàng)建、更改或刪除用戶賬號(hào)或組，重命名、禁止或啟用用戶號(hào)，設(shè)置和更改密碼。 ? （ 4）安全性規(guī)則更改。這些事件提供了關(guān)于事件的詳細(xì)跟蹤信息，如程序活動(dòng)、某些形式句柄的復(fù)制、間接對(duì)象的訪問和退出進(jìn)程。這時(shí)需要首先從“開始”菜單中選擇“程序”，然后再選擇“管理工具”。最后選擇需要啟動(dòng)的事件按 OK，然后關(guān)閉“用戶管理器”。 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 習(xí)題五 ? 簡(jiǎn)述訪問控制的三個(gè)要素、 7種策略。 ? 簡(jiǎn)述安全審計(jì)的類型。 , March 5, 2023 ? 雨中黃葉樹，燈下白頭人。 :55:3309:55:33March 5, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 2023年 3月 5日星期日 9時(shí) 55分 33秒 09:55:335 March 2023 ? 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 :55:3309:55Mar235Mar23 ? 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無限完美。 。 , March 5, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。勝人者有力，自勝者強(qiáng)。 2023年 3月 5日星期日 9時(shí) 55分 33秒 09:55:335 March 2023 ? 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 2023年 3月 5日星期日 上午 9時(shí) 55分 33秒 09:55: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 :55:3309:55Mar235Mar23 ? 1越是無能的人，越喜歡挑剔別人的錯(cuò)兒。 2023年 3月 5日星期日 9時(shí) 55分 33秒 09:55:335 March 2023 ? 1空山新雨后，天氣晚來秋。 :55:3309:55:33March 5, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 , March 5, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 。 :55:3309:55Mar235Mar23 ? 1故人江海別，幾度隔山川。日志分析的主要內(nèi)容是什么？ ? 簡(jiǎn)述 Windows NT的訪問控制過程。 ? 簡(jiǎn)述自主訪問控制模型、強(qiáng)制訪問控制模型、基于角色的訪問控制模型。審計(jì)日志將產(chǎn)生大量的數(shù)據(jù)，因此較為合理的方法是首先設(shè)置進(jìn)行簡(jiǎn)單的審計(jì)，然后在監(jiān)視系統(tǒng)性能的情況下逐步增加復(fù)雜的審計(jì)要求。然后從“用戶管理器”菜單中單擊Policies（策略），再單擊 audit（審計(jì)），“審計(jì)策略”窗口就出現(xiàn)了。 ? （ 7）文件和目錄審計(jì)。 ? （ 5）重新啟動(dòng)、關(guān)機(jī)及系統(tǒng)級(jí)事件。對(duì)訪問的用戶，訪問的文件、目錄、對(duì)象進(jìn)行審計(jì)。登錄及注銷或連接到網(wǎng)絡(luò)。另一方面，安全事件日志必須由具有管理者權(quán)限的人啟動(dòng)。例如，管理員能限制日志的大小并規(guī)定當(dāng)文件達(dá)到容量上限時(shí)，如何去處理這些文件。每一個(gè)事件記錄分為三個(gè)功能部分：頭、事件描述和可選的附加數(shù)據(jù)項(xiàng)。事件瀏覽器可以在 Administrative tool程序組中找到。 %systemroot%\system32\config\ 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) NT審計(jì)子系統(tǒng)結(jié)構(gòu) ? 幾乎 Windows NT系統(tǒng)中的每一項(xiàng)事務(wù)都可以在一定程度上被審計(jì)，在 Windows NT中可以在 Explorer和 User manager兩個(gè)地方打開審計(jì)。 ? 在這個(gè)過程中應(yīng)該注意：安全標(biāo)識(shí)（ SID）對(duì)應(yīng)賬號(hào)的整個(gè)有效期，而訪問令牌只對(duì)應(yīng)某一次賬號(hào)登錄。當(dāng)用戶登錄成功后，本地安全授權(quán)機(jī)構(gòu)（ LSA）為用戶創(chuàng)建一個(gè)訪問令牌，包括用戶名、所在組、安全標(biāo)識(shí)等信息。 ? （ 2）登錄過程（ LP）控制。 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 2． Windows NT的訪問控制過程 ? （ 1）創(chuàng)建賬號(hào)。這是整個(gè)安全子系統(tǒng)的核心。 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) Windows NT中的訪問控制 與安全審計(jì) ? Windows NT中的訪問控制 ? 1． Windows NT的安全模型 Windows NT采用的是微內(nèi)核（ Microkernel）結(jié)構(gòu)和模塊化的系統(tǒng)設(shè)計(jì)。例如，如果用戶通常在上午9點(diǎn)登錄，但卻有一天在凌晨 4點(diǎn)半登錄，這可能是一件值得調(diào)查的安全事件。這類工具通常可以剔除由特定類型事件產(chǎn)生的記錄，如由夜間備份產(chǎn)生的記錄將被剔除。 ? 實(shí)時(shí)檢查。審查人員應(yīng)該知道如何發(fā)現(xiàn)異常活動(dòng)。當(dāng)牽涉到法律問題時(shí)，審計(jì)跟蹤信息的完整性尤為重要（這可能需要每天打印和簽署日志）。使用數(shù)字簽名是實(shí)現(xiàn)這一目標(biāo)的一種途徑。 ? 與實(shí)施有關(guān)的問題包括：保護(hù)審計(jì)數(shù)據(jù)、審查審計(jì)數(shù)據(jù)和用于審計(jì)分析的工具。 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 安全審計(jì)的實(shí)施 ? 為了確保審計(jì)數(shù)據(jù)的可用性和正確性，審計(jì)數(shù)據(jù)需要受到保護(hù)，因?yàn)椴徽_的數(shù)據(jù)也是沒用的。在審計(jì)存儲(chǔ)系統(tǒng)遭受意外時(shí)，能防止或檢測(cè)審計(jì)記錄的修改，在存儲(chǔ)介質(zhì)存滿或存儲(chǔ)失敗時(shí)，能確保記錄不被破壞。 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 審計(jì)事件存儲(chǔ) ?審計(jì)事件的存儲(chǔ)也有安全要求，具體有如下幾種情況。審計(jì)系統(tǒng)以可理解的方式為授權(quán)用戶提供查閱日志和分析結(jié)果的功能。 要求高的日志分析系統(tǒng)還應(yīng)能檢測(cè)到多步入侵序列，當(dāng)攻擊序列出現(xiàn)時(shí)，能預(yù)測(cè)其發(fā)生步驟 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 審計(jì)事件查閱 ? 由于審計(jì)系統(tǒng)是追蹤、恢復(fù)的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安全性十分重要。 日志分析應(yīng)確定用戶正常行為的輪廓，當(dāng)日志中的事件違反正常訪問行為的輪廓，或超出正常輪廓一定的門限時(shí)，能指出將要發(fā)生的威脅。 日志素材 Syslog 系統(tǒng)調(diào)用 Syslog 守護(hù)程序 Syslog 規(guī)則集 日志記錄 系統(tǒng) 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 安 全 技 術(shù) 日志分析 ? 日志分析就是在日志中尋找模式，主要內(nèi)容如下： ? 潛在侵害分析。 計(jì) 算 機(jī) 網(wǎng) 絡(luò)