【正文】 Windows NT中的安全審計(jì) ? Windows NT的三個(gè)日志文件的物理位置如下： ?系統(tǒng)日志：包含所有系統(tǒng)相關(guān)事件的信息。 %systemroot%\system32\config\ ?安全日志：包括有關(guān)通過(guò) NT可識(shí)別安全提供者和客戶的系統(tǒng)訪問(wèn)信息。 %systemroot%\system32\config\ ?應(yīng)用程序日志：包括用 NT Security authority注冊(cè)的應(yīng)用程序產(chǎn)生的信息。 %systemroot%\system32\config\ NT審計(jì)子系統(tǒng)結(jié)構(gòu) ? 幾乎 Windows NT系統(tǒng)中的每一項(xiàng)事務(wù)都可以在一定程度上被審計(jì)，在 Windows NT中可以在 Explorer和 User manager兩個(gè)地方打開(kāi)審計(jì)。 ? 在 Explorer中，選擇 Security，再選擇 Auditing以激活Directory Auditing對(duì)話框，系統(tǒng)管理員可以在這個(gè)窗口選擇跟蹤有效和無(wú)效的文件訪問(wèn)。 ? 在 User manager中，系統(tǒng)管理員可以根據(jù)各種用戶事件的成功和失敗選擇審計(jì)策略，如登錄和退出、文件訪問(wèn)、權(quán)限非法和關(guān)閉系統(tǒng)等。 ? Windows NT使用一種特殊的格式存放它的日志文件，這種格式的文件可以被事件瀏覽器（ Event viewer）讀取。事件瀏覽器可以在 Administrative tool程序組中找到。系統(tǒng)管理員可以使用事件瀏覽器的 Filter選項(xiàng)根據(jù)一定條件選擇要查看的日志條目。查看條件包括類別、用戶和消息類型。 審計(jì)日志的記錄格式 ? Windows NT的審計(jì)日志由一系列的事件記錄組成。每一個(gè)事件記錄分為三個(gè)功能部分：頭、事件描述和可選的附加數(shù)據(jù)項(xiàng)。下圖顯示了一個(gè)事件記錄的結(jié)構(gòu)。 記錄頭 數(shù)據(jù) 時(shí)間 用戶名 計(jì)算機(jī)名 事件 ID 源 類型 種類 事件 描述 可變內(nèi)容，依賴于事件，可以是問(wèn)題的文本解釋和糾正措施的建議 附加 數(shù)據(jù) 附加域。如果采用的話，包含以字節(jié)或字顯示的二進(jìn)制數(shù)據(jù)及事件 記錄的源應(yīng)用產(chǎn)生的信息 NT事件日志管理特征 ? Windows NT提供了大量特征給系統(tǒng)管理員去管理操作系統(tǒng)事件日志機(jī)制。例如，管理員能限制日志的大小并規(guī)定當(dāng)文件達(dá)到容量上限時(shí)，如何去處理這些文件。選項(xiàng)包括：用新記錄去沖掉最老的記錄，停止系統(tǒng)直到事件日志被手工清除。 ? 當(dāng)系統(tǒng)開(kāi)始運(yùn)行時(shí)，系統(tǒng)和應(yīng)用事件日志也自動(dòng)開(kāi)始。當(dāng)日志文件滿并且系統(tǒng)配置規(guī)定它們必須被手工清除時(shí)，日志停止。另一方面，安全事件日志必須由具有管理者權(quán)限的人啟動(dòng)。利用 NT的用戶管理器，可以設(shè)置安全審計(jì)規(guī)則。要啟用安全審計(jì)的功能，只需在 “規(guī)則 ”菜單下選擇 “審計(jì) ”，然后通過(guò)查看 NT記錄的安全事件日志中的安全性事件，即可以跟蹤所選用戶的操作。 NT安全日志的審計(jì)策略 ? NT的審計(jì)規(guī)則如下（既可以審計(jì)成功的操作，又可以審計(jì)失敗的操作）： ?（ l）登錄及注銷。登錄及注銷或連接到網(wǎng)絡(luò)。 ?（ 2）用戶及組管理。創(chuàng)建、更改或刪除用戶賬號(hào)或組，重命名、禁止或啟用用戶號(hào)，設(shè)置和更改密碼。 ?（ 3）文件及對(duì)象訪問(wèn)。對(duì)訪問(wèn)的用戶，訪問(wèn)的文件、目錄、對(duì)象進(jìn)行審計(jì)。如果設(shè)置用于打印審計(jì)的系統(tǒng)發(fā)送打印用戶及打印作業(yè)的消息，審計(jì)通過(guò)后才能打印。 ?（ 4）安全性規(guī)則更改。對(duì)用戶權(quán)利、審計(jì)或委托關(guān)系規(guī)則的改動(dòng)。 ?（ 5）重新啟動(dòng)、關(guān)機(jī)及系統(tǒng)級(jí)事件。 ?（ 6）進(jìn)程跟蹤。這些事件提供了關(guān)于事件的詳細(xì)跟蹤信息，如程序活動(dòng)、某些形式句柄的復(fù)制、間接對(duì)象的訪問(wèn)和退出進(jìn)程。對(duì)于 “文件及對(duì)象訪問(wèn) ”中的文件和目錄的審計(jì)還需要在資源管理器中對(duì)要審計(jì)的目錄或文件進(jìn)行具體設(shè)置。 ?（ 7）文件和目錄審計(jì)。 管理和維護(hù) NT審計(jì) ? 通常情況下， Windows NT不是將所有的事件都記錄日志，而需要手動(dòng)啟動(dòng)審計(jì)的功能。這時(shí)需要首先從“開(kāi)始”菜單中選擇“程序”，然后再選擇“管理工具”。從“管理工具”子菜單選擇“用戶管理器”，顯示出“用戶管理器”窗口。然后從“用戶管理器”菜單中單擊 Policies（策略），再單擊 audit（審計(jì)），“審計(jì)策略”窗口就出現(xiàn)了。接著選擇 audit these events單選框（審計(jì)這些事件）。最后選擇需要啟動(dòng)的事件按 OK，然后關(guān)閉“用戶管理器”。值得注意的是，在啟動(dòng) Windows NT的審計(jì)功能時(shí)，需要仔細(xì)選擇審計(jì)的內(nèi)容。審計(jì)日志將產(chǎn)生大量的數(shù)據(jù)，因此較為合理的方法是首先設(shè)置進(jìn)行簡(jiǎn)單的審計(jì)，然后在監(jiān)視系統(tǒng)性能的情況下逐步增加復(fù)雜的審計(jì)要求。當(dāng)需要審查審計(jì)日志以跟蹤網(wǎng)絡(luò)或機(jī)器上的異常事件時(shí)，采用一些第三方提供的工具是一個(gè)較有效率的選擇。 Windows NT用戶權(quán)限 ? Administrators,管理員組，默認(rèn)情況下，Administrators中的用戶對(duì)計(jì)算機(jī) /域有不受限制的完全訪問(wèn)權(quán)。分配給該組的默認(rèn)權(quán)限允許對(duì)整個(gè)系統(tǒng)進(jìn)行完全控制。所以，只有受信任的人員才可成為該組的成員。 ? Power Users，高級(jí)用戶組， Power Users 可以執(zhí)行除了為 Administrators 組保留的 ? 任務(wù)外的其他任何操作系統(tǒng)任務(wù)。分配給 Power Users 組的默認(rèn)權(quán)限允許 Power Users 組的成員修改整個(gè)計(jì)算機(jī)的設(shè)置。但 Power Users 不具有將自己添加到 Administrators 組的權(quán)限。在權(quán)限設(shè)置中，這個(gè)組的權(quán)限是僅次于 Administrators的。 ? Users:普通用戶組，這個(gè)組的用戶無(wú)法進(jìn)行有意或無(wú)意的改動(dòng)。因此，用戶可以 ? 運(yùn)行經(jīng)過(guò)驗(yàn)證的應(yīng)用程序，但不可以運(yùn)行大多數(shù)舊版應(yīng)用程序。 Users 組是最安全的組，因?yàn)榉峙浣o該組的默認(rèn)權(quán)限不允許成員修改操作系統(tǒng)的設(shè)置或用戶資料。 Users 組提供了一個(gè)最安全的程序運(yùn)行環(huán)境。在經(jīng)過(guò) NTFS 格式化的卷上，默認(rèn)安全設(shè)置旨在禁止該組的成員危及操作系統(tǒng)和已安裝程序的完整性。用戶不能修改 ? 系統(tǒng)注冊(cè)表設(shè)置、操作系統(tǒng)文件或程序文件。 Users 可以關(guān)閉工作站，但不能關(guān)閉服務(wù)器。 Users 可以創(chuàng)建本地組，但只能修改自己創(chuàng)建的本地組。 ? Guests:來(lái)賓組，按默認(rèn)值，來(lái)賓跟普通 Users的成員有同等訪問(wèn)權(quán)，但來(lái)賓帳戶的限制更多。 ? Everyone:顧名思義，所有的用戶，這個(gè)計(jì)算機(jī)上的所有用戶都屬于這個(gè)組。 ? 其實(shí)還有一個(gè)組也很常見(jiàn)，它擁有和 Administrators一樣、甚至比其還高的權(quán)限，但是這個(gè)組不允許任何用戶的加入，在察看用戶組的時(shí)候，它也不會(huì)被顯示出來(lái)，它就是 SYSTEM組。系統(tǒng)和系統(tǒng)級(jí)的服務(wù)正常運(yùn)行所需要的權(quán)限都是靠它賦予的。 習(xí)題五 ?簡(jiǎn)述訪問(wèn)控制的三個(gè)要素、 7種策略。 ?簡(jiǎn)述訪問(wèn)控制的內(nèi)容。 ?簡(jiǎn)述自主訪問(wèn)控制模型、強(qiáng)制訪問(wèn)控制模型、基于角色的訪問(wèn)控制模型。 ?試述訪問(wèn)控制的安全策略以及實(shí)施原則。 ?簡(jiǎn)述安全審計(jì)的類型。 ?簡(jiǎn)述日志內(nèi)容。日志分析的主要內(nèi)容是什么？ ?簡(jiǎn)述 Windows NT的訪問(wèn)控制過(guò)程。 ? Windows的審計(jì)系統(tǒng)是如何實(shí)現(xiàn)的？采用什么策略？ ?基于角色的訪問(wèn)控制是如何實(shí)現(xiàn)的？有什么優(yōu)點(diǎn)？