Windows安全配置 教学课件 作者 冯秀彦 吕秀鉴 褚云霞 第十章 系统监控审核.ppt

第十章 系统监控审核 本章描述：Windows操作系统内置了许多监控程序，用户可以利用它们来监测网络运行的状态。 10.1 系统监控审核标准 本章通过3个子任务即日志与事件，安全日志，性能监视及优化，用户应该达到如下系统监控审核标准： 1、会使用事件查看器检测系统日志 2、会启用安全日志审核 3、能够使用性能监视器监控网络 10.2日志与事件 任务描述1：Windows系统的安全取决于访问的安全，任何对系统的或者文件的操作都会记录在相应的系统日志和事件中，日志和事件具体的作用是什么呢？ 技能要求：了解日志和事件的概念，会查看日志和事件的记录。 运行任何版本的Windows的计算机用三种日志记录事件：应用程序日志、安全日志和系统日志。配置为域控制器的Windows计算机还有另外两种日志：目录服务日志和文件复制服务日志。配置为域名系统（DNS）服务器的计算机还在DNS服务日志里记录事件 10.2.1系统日志类型 基于 Windows 的计算机将事件记录在以下三种日志中： 1、应用程序日志 应用程序日志包含由程序记录的事件。例如，数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。 2、安全日志 安全日志记录有效和无效的登录尝试等事件，以及与资源使用有关的事件（如创建、打开或删除文件）。例如，在启用登录审核的情况下，每当用户尝试登录到计算机上时，都会在安全日志中记录一个事件。您必须以 Administrator 或 Administrators 组成员的身份登录，才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。 3、系统日志 系统日志包含 Windows 系统组件所记录的事件。例如，如果在启动过程中未能加载某个驱动程序，则会在系统日志中记录一个事件。Windows 预先确定由系统组件记录的事件。 10.2.2 事件参数 信息 含义 日期 事件发生的日期。 时间 事件发生的本地时间。 用户 事件发生所代表的用户的名称。如果事件实际上是由服务器进程所引起的，则该名称为客户 ID；如果没有发生模拟的情况，则为主 ID。在可用时，安全性日志条目包括主 ID 和模拟 ID。当服务器允许一个进程采用另一个进程的安全属性时，则产生模拟。 计算机 产生事件的计算机的名称。这通常是您自己的计算机的名称，除非您在另一台计算机上查看事件日志。 事件 ID 识别特殊事件类型的编号。描述的第一行一般包含事件类型的名称。例如，6005 是在启动事件日志服务时所发生事件的 ID。这类事件描述的第一行是“事件日志服务已启动”。”产品支持代表可使用事件 ID 和事件来源解决系统问题。 来源 记录事件的软件，可以是程序名（如 SQL Server, ）、系统的组件（如驱动程序）或大程序的组件。例如，Elnkii 表示 EtherLink II 的驱动程序。 类型 事件严重性的分类：系统和应用程序日志里的错误、信息或警告与安全性日志中的成功审核或失败审核。在“事件查看器”中的正常列表方式下查看，它们都由一个符号表示。 类别 按事件来源分类事件。该信息主要用于安全性日志。例如，对于安全审核，它对应于可在组策略中启用成功或失败审核的其中一个事件类型。 10.2.3事件类型 所记录的每个事件的说明取决于事件类型。日志中的每个事件都可归类为以下类型之一： 1、信息 ：描述任务（如应用程序、驱动程序或服务）成功运行的事件。例如，当网络驱动程序成功加载时将记录“信息”事件。 2、警告 ：不一定重要但可能表明将来有可能出现问题的事件。例如，当磁盘空间快用完时将记录“警告”消息。 3、错误 ：描述重要问题（如关键任务失败）的事件。“错误”事件可能涉及数据丢失或功能缺失。例如，当启动过程中无法加载服务时将记录“错误”事件。 4、成功审核（安全日志） ：描述成功完成受审核安全事件的事件。例如，当用户登录到计算机上时将记录“成功审核”事件。 5、失败审核（安全日志）：描述未成功完成的受审核安全事件的事件。例如，当用户无法访问网络驱动器时可能记录“失败审核”事件。 10.2.4查看日志 要打开事件查看器，请按照下列步骤操作： 单击【开始】，然后单击【控制面板】。再单击【管理工具】，然后双击【计算机管理】，在控制台树中单击【事件查看器】。 应用程序日志、安全日志和系统日志显示在【事件查看器】窗口中。如图10-1所示。 图10.1 安全日志 10.3安全日志 任务描述2:对于管理员来说，很重要的一点是保护你的信息和服务资源不会被不应访问的人访问，同时还要使这些资源能够被授权的用户访问。那么如何使用 Windows安全功能审核对资源的访问呢？我们可以配置安全日志以记录有关目录和文件访问或者服