文档介绍:1
第7章审计与管理
2
审计
审计的概念与作用
实例1--NT 的安全审计
实例2--UNIX 的安全审计
安全管理技术
安全管理
安全管理原则
安全管理规则
本地安全策略
3
审计的概念与作用
概念:
根据一定的策略,通过记录分析历史操作事件,发现和改进系统性能和安全。
作用:
对潜在的攻击者起到震摄或警告;对于已经发生的系统破坏行为,提供有效的追纠证据;
为系统管理员提供有价值的系统使用日志,从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。
4
--NT 的安全审计
在NT 中可以对如下事件进行安全审计
登录及注销
文件及对象访问
用户权力的使用用户及组管理
安全性规则更改
重新启动关机及系统
进程追踪等
5
NT安全审计方法
利用NT 的用户管理器,可以设置安全审计规则。要启用安全审计功能,只需在规则菜单下选择审计,然后,通过查看NT记录的安全性事件类型的事件,可以跟踪所选用户的操作。
6
NT 的审计规则如下(既可以审计成功的操作,又可以审计失败的操作。):
登录及注销:登录及注销或连接到网络。
文件及对象访问:访问设置用于文件或目录审计的目录或文件的用户,向打印机(审计的打印机)发送打印作业的用户。
用户及组管理:创建、更改或删除用户、帐号或组;重命名、禁止或启用用户号或者设置和更改密码。
安全性规则更改:对用户权利审计或委托关系规则的改动。
重新启动、关机及系统事件:用户重新启动或关闭计算机,或者发生了一个影响系统安全性或安全日志的事件。
进程追踪:这些事件提供了关于事件的详细跟踪信息,如程序活动、某些形式句柄的复制,间接对象的访问和退出进程。
7
对于“文件及对象访问”中的文件和目录的审计,需要在资源管理器中对要审计的目录或文件具体进行设置。
文件和目录审计允许您跟踪目录和文件的用法,对于一个具体的文件或目录可以指定要审计的组、用户或操作,既可以审计成功的操作又可以审计失败的操作。
审计目录可以选择下列事件:读、写、执行、删除、更改权限、获得所有权。
8
NT 日志文件
审计文件:/WINNT/SYSTEM32/CONFIG/、
使用工具:程序/管理工具/事件查看器
系统日志:
日期时间来源分类事件用户计算机
01-3-31 Am02:05:04 Srv 无 2013 N/A Imok
01-3-31 Am01:51:23 EventLog 无 6005 N/A Imok
01-3-31 Am01:32:14 Browser 无 8033 N/A Imok
9
--UNIX 的安全审计
Unix的日志文件
主要目录:
/etc
/etc/security
/usr/adm 早期版本
/var/adm 近期版本
/var/log
10
主要文件:
acct t :记录所有用户使用过的文件
lastlog :记录最新登录时间成/败
message :记录syslog产生的输出到控制台的信息
sulog :使用su命令的记录
utmp :记录当前登录进系统的用户信息
wtmp :提供一份详细每次用户登录和退出的历史信息文件
HOME/.sh history :用户登录进系统后执行的所有命令