淺談Windows 7中的文件訪問審計策略

Win7之家（ afsion.com.cn）：淺談Windows 7中的文件訪問審計策略

　　在審計文件訪問策略中，可以根據(jù)需要選擇多種安全審計策略，即可以告訴操作系統(tǒng)，在發(fā)生哪些操作時將訪問的信息記入到安全日志中，包括訪問人員、訪問者的電腦、訪問時間、進行了什么操作等等。如果將全部的訪問操作都記錄在日志中，那么日志的容量會變得很大，反而不易于后許的維護與管理。為此系統(tǒng)管理員在設置審計文件訪問策略時，往往需要選擇一些特定的事件，以減少安全訪問日志的容量。為了達到這個目的，下面的一些建議各位系統(tǒng)管理員可以參考一下。

一、最少訪問操作原則。

　　在Win7中，將這個訪問操作分為很細，如修改權限、更改所有者等等十多種訪問操作。雖然系統(tǒng)管理員需要花一定的時間去考慮該選擇哪些操作或者進行相關的設置，但是對于系統(tǒng)管理員來說這仍然是一個福音。權限細分意味著管理員選擇特定的訪問操作之后，就可以得到最少的審核記錄。簡單的說，“產(chǎn)生的審核記錄最少而且可以涵蓋用戶的安全需求”這個目標更容易實現(xiàn)。因為在實際工作中，往往只需要對特定的操作進行審計即可。如只對用戶更改文件內(nèi)容或者訪問文件等少部分操作進行審計即可。而不需要對全部操作進行審計。如此產(chǎn)生的審計記錄就會少的多，同時用戶的安全需求也得以實現(xiàn)。

二、失敗操作優(yōu)先選擇。

　　對于任何的操作，系統(tǒng)都分為成功與失敗兩種情況。在大部分情況下，為了收集用戶非法訪問的信息，只需要讓系統(tǒng)記入失敗事件即可。如某個用戶，其只能夠只讀訪問某個共享文件。此時管理員就可以給這個文件設置一個安全訪問策略。當用戶嘗試更改這個文件時將這個信息記入下來。而對于其他的操作，如正常訪問時則不會記錄相關的信息。這也可以大幅度的減少安全審計記錄。所以筆者建議，一般情況下只要啟用失敗事件即可。在其不能夠滿足需求的情況下，才考慮同時啟用成功事件記錄。此時一些合法用戶合法訪問文件的信息也會被記錄下來，此時需要注意的是，安全日志中的內(nèi)容可能會成倍的增加。在Windows7操作系統(tǒng)中可以通過刷選的方式來過濾日志的內(nèi)容，如可以按“失敗事件”，讓系統(tǒng)只列出那些失敗的記錄，以減少系統(tǒng)管理員的閱讀量。

三、如何利用蜜糖策略收集非法訪問者的信息？

　　在實際工作中，系統(tǒng)管理員還可以采用一些“蜜糖策略”來收集非法訪問者的信息。什么叫做蜜糖策略（蜜罐策略）呢？其實就是在網(wǎng)絡上放點蜜糖，吸引一些想偷蜜的蜜蜂，并將他們的信息記錄下來。如可以在網(wǎng)絡的共享文件上，設置一些看似比較重要的文件。然后在這些文件上設置審計訪問策略。如此，就可以成功地收集那些不懷好意的非法入侵者。不過這守紀起來的信息，往往不能夠作為證據(jù)使用。而只能夠作為一種訪問的措施。即系統(tǒng)管理員可以通過這種手段來判斷企業(yè)網(wǎng)絡中是否存在著一些“不安分子”，老是試圖訪問一些未經(jīng)授權的文件，或者對某些文件進行越權操作，如惡意更改或者刪除文件等等。知己知彼，才能夠購百戰(zhàn)百勝。收集了這些信息之后，系統(tǒng)管理員才可以采取對應的措施。如加強對這個用戶的監(jiān)控，或者檢查一下這個用戶的主機是否已經(jīng)成為了別人的肉雞等等。總之系統(tǒng)管理員可以利用這種機制來成功識別內(nèi)部或者外部的非法訪問者，以防止他們做出更加嚴重的破壞。

四、 注意：文件替換并不會影響原有的審計訪問策略

設置安全審計

　　如上圖中，有一個叫做捕獲的圖片文件，為其設置了文件級別的安全審計訪問，沒有在其文件夾“新建文件夾”上設置任何的安全審計訪問策略。此時，筆者如果將某個相同的文件（文件名相同且沒有設置任何的安全審計訪問策略）復制到這個文件夾中，把原先的文件覆蓋掉。注意此時將這個沒有設置任何的安全審計訪問策略。文件復制過去之后，因為同名會將原先的文件覆蓋掉。但是，此時這個安全審計訪問策略的話就轉(zhuǎn)移到新復制過去的那個文件上了。換句話說，現(xiàn)在新的文件有了原來覆蓋掉的那個文件的安全審計訪問權限。這是一個很奇怪的現(xiàn)象，筆者也是在無意之中發(fā)現(xiàn)。不知道這是Windows7操作系統(tǒng)的一個漏洞呢，還是其故意這么設置的？這有待微軟操作系統(tǒng)的開發(fā)者來解釋了。