审计与管理 主讲:段云所副教授 北京大学计算机系 doves(pku.edu. cn
审计与管理 主讲 段云所 副教授 北京大学计算机系 北京大学计算机系 doyes@pku.edu.cn doyes@pku.edu.cn
Q问题的提出 ◆70%的安全问题起源于管理。 ◆几乎所有的安全事件的查处和追踪依 赖系统事件记录。 ◆系统资源的改善需要历史经验
问题的提出 ♦70%的安全问题起源于管理 ♦几乎所有的安全事件的查处和追踪依 赖系统事件记录 ♦系统资源的改善需要历史经验
◆概念:根据一定的策略,通过记录、分 析历史操作事件发现和改进系统性能和安 全 ◆作用: 对潜在的攻击者起到震摄或警告 对于已经发生的系统破坏行为,提供 有效的追纠证据 为系统管理员提供有价值的系统使用 日志,从而帮助系统管理员及时发现系统 入侵行为或潜在的系统漏洞
审计 ♦概念 根据一定的策略 通过记录 分 析历史操作事件发现和改进系统性能和安 全 ♦作用 对潜在的攻击者起到震摄或警告 对于已经发生的系统破坏行为 提供 有效的追纠证据 为系统管理员提供有价值的系统使用 日志 从而帮助系统管理员及时发现系统 入侵行为或潜在的系统漏洞
Q应用实例1-NT的安全审计 在NT中可以对如下事件进行安全审计: ◆登录及注销 ◆文件及对象访问 ◆用户权力的使用,用户及组管理 ◆安全性规则更改 ◆重新启动、关机及系统 ◆进程追踪等
应用实例1-- NT 的安全审计 在NT 中可以对如下事件进行安全审计 ♦登录及注销 ♦文件及对象访问 ♦用户权力的使用 用户及组管理 ♦安全性规则更改 ♦重新启动 关机及系统 ♦进程追踪等
NT安全审计方法 利用NT的用户管理器,可以设置 安全审计规则。要启用安全审计功能, 只需在规则菜单下选择审计,然后通 过查看NT记录的安全性事件类型的 事件,可以跟踪所选用户的操作
NT安全审计方法 利用NT 的用户管理器 可以设置 安全审计规则 要启用安全审计功能 只需在规则菜单下选择审计 然后通 过查看NT 记录的安全性事件类型的 事件 可以跟踪所选用户的操作
NT的审计规则如下(既可以审计成功的操 作,又可以审计失败的操作): ◆登录及注销登录及注销或连接到网络。 ◆文件及对象访问:访问设置用于文件或 目录审计的目录或文件的用户向设置用 于打印机审计的打印机发送打印作业用 尸
NT 的审计规则如下 既可以审计成功的操 作 又可以审计失败的操作 ♦登录及注销:登录及注销或连接到网络 ♦文件及对象访问 访问设置用于文件或 目录审计的目录或文件的用户向设置用 于打印机审计的打印机发送打印作业用 户
◆用户及组管理:创建、更改或删除用户 帐号或组;重命名、禁止或启用用户号; 或者设置和更改密码。 ◆安全性规则更改:对用户权利,审计或 委托关系规则的改动。 ◆重新启动、关机及系统:用户重新启动 或关闭计算机;或者发生了一个影响系 统安全性或安全日志的事件
♦用户及组管理 创建 更改或删除用户 帐号或组 重命名 禁止或启用用户号 或者设置和更改密码 ♦安全性规则更改 对用户权利 审计或 委托关系规则的改动 ♦重新启动 关机及系统 用户重新启动 或关闭计算机 或者发生了一个影响系 统安全性或安全日志的事件
◆进程追踪:这些事件提供了关于事件的 详细跟踪信息,如程序活动,某些形式 句柄的复制,间接对象的访问和退出进 程 对于“文件及对象访问”中的文件和目 录的审计还需要在资源管理器中对要审 计的目录或文件具体进行设置
♦进程追踪 这些事件提供了关于事件的 详细跟踪信息 如程序活动 某些形式 句柄的复制 间接对象的访问和退出进 程 对于“文件及对象访问”中的文件和目 录的审计还需要在资源管理器中对要审 计的目录或文件具体进行设置
◆文件和目录审计允许您跟踪目录和文件 的用法。对于一个具体的文件或目录, 可以指定要审计的组、用户或操作。既 可以审计成功的操作,又可以审计失败 的操作。 ◆审计目录可以选择下列事件:读、写、 执行、删除、更改权限、获得所有权
♦文件和目录审计允许您跟踪目录和文件 的用法 对于一个具体的文件或目录 可以指定要审计的组 用户或操作 既 可以审计成功的操作 又可以审计失败 的操作 ♦审计目录可以选择下列事件 读 写 执行 删除 更改权限 获得所有权
NT日志文件 名称: 6/WINNT/SYSTEM32/CONFIG ◆ SysEvent evt ◆ Secevent evt AppEvent evt 打开工具 程序管理工具/事件查看器
NT 日志文件 名称 /WINNT/SYSTEM32/CONFIG/ ♦ SysEvent.evt ♦ SecEvent.evt ♦ AppEvent.evt 打开工具 程序/管理工具/事件查看器