在审计
文件访问
策略,可以选择多种安全审计策略,即可以告诉
操作系统,在操作过程中所发生的事情记录在安全日志中的信息的访问,包括访问人员,访问者的
电脑、访问时间、所等操作。如果所有的访问操作记录在日志,日志的容量会变大,但不易
维护和
管理后,为了这个目的,系统
管理员往往要选择特定事件的能力降低安全访问日志
设置审计文件访问策略。为了实现这一
目标,以下为系统管理员建议可以
参考。
首先,最小访问操作原理。
在Windows 7中,这种访问操作分为超过10种
类型的访问操作,如
修改权限,更改所有者,等等。虽然系统管理员需要花一定的时间去考虑哪些操作选择,或进行相关的设置,它仍然是一个好
消息,系统管理员的权限。细分的
方法,管理员可以选择一个特定的访问操作后得到最少的审计记录。在一个简单的方法,由此产生的审计记录至少可以覆盖
用户的安全要求;这一目标更容易实现。因为在实际
工作中,往往只需要审计的具体操作。如果用户更改文件或访问内容对审计操作的一小部分进行审核,不需要对所有操作进行审计,这样审计记录就少了,用户的安全需求也得到了实现。
二、
故障操作的首选。
任何操作,系统分为成功和失败的案例。在大多数
情况下,为了收集信息的用户非法访问,它使
系统故障事件是必要的,作为一个用户,它只能访问共享文件的读取,此时管理员可以设置该文件的安全访问策略,信息被记录,当用户试图修改文件,其他操作,如正常访问,相关的信息将不被记录。这也可以大大减少安全审计记录。所以笔者建议,在一般情况下,只有失败事件被
启用。成功事件记录在同一时间,当它不能满足要求时考虑。同时,一些合法用户也会记录合法访问文件的信息。此时,必须注意安全日志中的内容可能会成倍增加。通过选择方法来过滤Windows 7
操作系统中的日志内容,例如系统故障事件;仅列出那些失败记录,以减少读取系统管理员的数量。
三。如何利用蜂蜜糖策略收集非法入境者的信息
在实际工作中,系统管理员也可以使用一些蜂蜜;政策;收集有关非法访问者的信息。什么叫蜜罐(Honeypot策略)策略是把一些蜜蜂在互联网上,吸引蜜蜂,想偷蜂蜜,并记录他们的信息。如果你能在
网络共享文件设置了一些看似更重要的文件。审计访问策略是通过对这些文件的设置。这样的unintentioned非法入侵者可以成功地收集,但这些信息往往是不能够作为证据使用,只能作为一个衡量访问。也就是说,系统管理员可以判断是否有企业网络通过这种方式。总是为一些未经授权的文件干扰,或一些文件被驳回,如恶意更改或
删除的文件。我们可以购买胜利。在收集这些信息,系统管理员可以采取相应的措施,如加强用户的监控,或
检查是否用户的主机成为肉鸡,等等。总之,系统管理员可以使用该机制成功地
识别内部或外部的非法访问,防止更严重的损伤。
四。注意:文件
替换不会
影响原始审核访问策略。
设置安全审计
有一个称为捕获的
图片文件,它为它设置了文件级安全审核
访问权限。它没有设置任何的安全审计准入政策的新文件夹;文件夹。在这一点上,如果我
复制相同的文件(同样的文件名和没有安全审计访问策略),将它复制到这个文件夹,并覆盖原有的文件。注意安全审计准入政策不在这点设置后,文件复制过来的,相同的名称将覆盖原有的文件。然而,这个安全审计访问策略转移到过去的新副本。换句话说,新文件现在有文件,原本覆盖的安全审计访问。这是一个很奇怪的现象无意中,我
发现,我不知道这是在Windows 7操作系统的一个缺陷,或者是它的目的是通过开发说明微软的操作系统,是故意设置私奔。