【正文】 4．安全日志的審計策略 審計規(guī)則既可以審計成功操作 ， 又可以審計失敗操作 。 2） 應(yīng)用程序日志 。但是，大部分情況都可用系統(tǒng)調(diào)用 Syslog來記錄日志，也可以用 SNMP記錄。 22 安全審計技術(shù) 審計內(nèi)容 審計跟蹤可以實現(xiàn)多種安全相關(guān)目標(biāo)，包括個人職能、事件重建、入侵檢測和故障分析。 刪除 “默認(rèn)站點(diǎn) ”的站點(diǎn) 。 3．不讓系統(tǒng)顯示上次登錄的用戶名 通過修改 “管理工具”中的 “本地安全策略 ”的相應(yīng)選項 或修改系統(tǒng)注冊表來 實現(xiàn) 。 定義操作系統(tǒng)將產(chǎn)生何種類型的審計信息 ， 由系統(tǒng)的安全管理員控制 。 2） 訪問令牌 (Access Token)。用戶先經(jīng)認(rèn)證后獲得一定角色，該角色被分派了一定的權(quán)限，用戶以特定角色訪問系統(tǒng)資源，訪問控制機(jī)制檢查角色的權(quán)限，并決定是否允許訪問。不同級別的主體對不同級別的客體的訪問是在強(qiáng)制的安全策略下實現(xiàn)的。自主是指主體能夠自主的 (可能是間接的 )將訪問權(quán)或訪問權(quán)的某個子集授予其他主體。 本章講述訪問控制的原理、作用、分類和研究前沿，重點(diǎn)介紹較典型的自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制。 8 訪問控制技術(shù) 訪問控制原理 1．自主訪問控制 (續(xù) ) (2) 訪問能力表 訪問能力表 (Access Capabilities List)是最常用的基于行的自主訪問控制。用戶在訪問系統(tǒng)前，經(jīng)過角色認(rèn)證而充當(dāng)相應(yīng)的角色。 3） 安全賬號管理器 (Security Account Manager， SAM)。 Windows系統(tǒng)會為共享資源創(chuàng)建安全描述符，包含了該對象的一組安全屬性 。 當(dāng)用戶或者用戶生成的進(jìn)程要訪問某個對象時 ， 安全引用監(jiān)視器將用戶／進(jìn)程的訪問令牌中的 SID與對象安全描述符中的自主訪問控制表進(jìn)行比較 ， 從而決定用戶是否有權(quán)訪問對象 。 7．修改終端服務(wù)的默認(rèn)端口 如有必要才需要此操作，默認(rèn)為 3389，可隨意修改為 1～ 65535的端口。審計和監(jiān)控是實現(xiàn)系統(tǒng)安全的最后一道防線，處于系統(tǒng)的最高層。 3)應(yīng)能夠?qū)σ粋€給定的資源 (其他用戶也被視為資源 )進(jìn)行審計分析 ， 分辨看似正常的活動 ， 以發(fā)現(xiàn)內(nèi)部計算機(jī)系統(tǒng)的不正當(dāng)使用； 4)設(shè)計審計機(jī)制時 ， 應(yīng)將系統(tǒng)攻擊者的策略也考慮在內(nèi) 。 1．審計子系統(tǒng)結(jié)構(gòu) 在 “資源管理器 ”中 ， 選擇右鍵菜單中的屬性 — 安全 — 高級 ， 再選擇 “審核 ”以激活目錄審核對話框 ， 系統(tǒng)管理員可以在這個窗口選擇跟蹤有效和無效的文件訪問 。 “ 類型 ” 是 事件嚴(yán)重性指示器 。 本章小結(jié) 33 演講完畢，謝謝觀看！ 。 事件記錄頭 的 “ 源 ” 指 用來響應(yīng)產(chǎn)生事件記錄的軟件 。 26 安全審計技術(shù) 安全審計應(yīng)用實例 流行的操作系統(tǒng)都提供審計的功能。 23 安全審計技術(shù) 安全審計的目標(biāo) 計算機(jī)安全審計機(jī)制的目標(biāo)如下： 1)應(yīng)為安全人員提供足夠多的信息 ， 使他們能夠定位問題所在；但另一方面 ， 提供的信息應(yīng)不足以使他們自己也能夠進(jìn)行攻擊 。 21 安全審計技術(shù) 安全審計概述 審計是對訪問控制的必要補(bǔ)充，是訪問控制的一個重要內(nèi)容。管理方法是打開 “管理工具 ”“服務(wù) ”，根據(jù)要求啟動 /停止相應(yīng)的服務(wù)。 然后 ， 本地安全授權(quán)機(jī)構(gòu)為用戶創(chuàng)建訪問令牌 ， 包括用戶名 、 所在組 、安全標(biāo)識等信息 。 共享資源是在網(wǎng)絡(luò)上共享的對象 。 根據(jù)安全賬號管理器中的數(shù)據(jù)處理本地或者遠(yuǎn)程用戶的登錄信息 ， 并控制審計和日志 。自主訪問控制作為基礎(chǔ)的、常用的控制手段；強(qiáng)制訪問控制作為增強(qiáng)的、更加嚴(yán)格的控制手段。 7 訪問控制技術(shù) 訪問控制原理 訪問控制表 (Access Control List， ACL)是基于訪問控制矩陣中列的自主訪問控制。 3 訪問控制技術(shù) 訪問控制是在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機(jī)制。傳遞可能會給系統(tǒng)帶來安全隱患，某個主體通過繼承其他主體的權(quán)限而得到了它本身不應(yīng)具有的訪問權(quán)限，就可能破壞系統(tǒng)的安全性。 這種訪問可以是讀，也可以是寫或修改。 3）具有較好的提供最小權(quán)利的能力，從而提高了安全性。 3） 主體 。 ACEs有三種類型： Access Allowed、 Access Denied和System Audit。通過修改 “管理工具”中的 “本地安全策略 ”的相應(yīng)選項 或修改系統(tǒng)注