Windows 2000 审核和入侵检测
要维护真正安全的环境,只是具备安全系统还远远不够。如果总假设自己不会受到攻击,或认为防护措施已足以保护自己的安全,都将非常危险。要维护系统安全,必须进行主动监视,以检查是否发生了入侵和攻击。
很多方面都说明,监视和审核入侵非常重要,具体原因有:
| • |
所有处于运行中的计算机环境都有可能被攻击。无论系统安全级有多高,总有面临攻击的风险。 |
| • |
成功的攻击一般出现在一系列失败攻击后。如果不监视攻击,您将无法在入侵者达到目的前检测到他们。 |
| • |
一旦攻击成功,越早发现越能减少损失。 |
| • |
为了能从攻击中恢复,需要了解发生了什么损失。 |
| • |
审核和入侵检测有助于确定是谁发起的攻击。 |
| • |
审核和入侵检测的结合使用有助于将信息进行关联,以识别攻击模式。 |
| • |
定期复查安全日志有助于发现未知的安全配置问题(如不正确的权限,或者不严格的帐户锁定设置)。 |
| • |
检测到攻击之后,审核有助于确定哪些网络资源受到了危害。 |
本模块讲述如何审核环境,以便发现攻击并跟踪攻击。本模块还讲述了如何监视是否发生了入侵,如何使用入侵检测系统(入侵检测系统是专门为发现攻击行为而设计的软件)。
目标
使用本模块可以实现下列目标:
| • |
使用最佳做法在组织中进行审核。 |
| • |
保护关键日志文件,防止攻击者干预证据。 |
| • |
结合使用被动和主动的检测方法。 |
| • |
明确监督和监视员工要具备哪些工具和技术,以及如何在审核过程中使用这些工具和技术。 |
适用范围
本模块适用于下列产品和技术:
| • |
Microsoft® Windows 2000™ 操作系统 |
如何使用本模块
使用本模块中的指南可启动监视体系,该体系将主动检测入侵和攻击。这样,您能在发生攻击时及早干预,并减少该事件的影响,降低组织受到严重损失的风险。
为了充分理解本模块内容,请:
| • |
阅读模块:对 Windows 2000 环境中发现的事件进行响应。 |
审核
在任何安全环境中,您都应主动监视以检查是否发生了入侵和攻击。如果总假设不会受到攻击,只是将安全系统放在那里,随后不执行任何审核工作,您将无法达到预期目标。
作为整体安全策略的一部分,您应确定适于所在环境的审核级别。审核过程应识别可能会对网络,或风险评估中已确定的有价值资源造成威胁的各种攻击(无论攻击成功或失败)。
当决定要审核多少内容时,切记审核的内容越多,生成的事件越多,发现严重事件就越困难。如果要审核大量内容,有必要考虑使用附加的工具来帮助筛选重要事件,这样的工具有 Microsoft Operations Manager (MOM) 等。
审核事件可分为两类:成功事件和失败事件。成功事件表明用户已成功获得某资源的访问权限,失败事件表明用户进行了尝试,但失败了。
失败事件十分有助于跟踪对环境进行的攻击尝试,成功事件则难以解释。虽然绝大多数成功审核事件只表明正常的操作,但获取了某系统访问权限的攻击者也会生成一个成功事件。通常,事件模式与事件本身同样重要。例如,一系列失败后的一次成功可能表示曾经的攻击尝试最终得到成功。
您应尽可能将审核事件与所拥有的相关用户的其他信息结合使用。例如,如果用户在休假,可选择用户不在时禁用其帐户,然后在重新启用帐户时再审核。
如何启用审核
使用组策略可在站点、域、组织单位 (OU) 或本地计算机级启用审核。审核策略位于:
计算机配置\Windows 设置\安全设置\本地策略\审核策略
通常情况下,应在 Microsoft Active Directory™ 目录服务层次的较高级实现审核,这有助于保持审核设置的一致性。Contoso 在“成员服务器”和“域控制器”OU 级都实现了审核。
