Windows system >> Windowsの知識 >  >> Windows 2008システムチュートリアル >> Windows 2008アプリケーションのヒント >> システムをより安全にするためのWin2008監査機能の巧妙な使用

システムをより安全にするためのWin2008監査機能の巧妙な使用

  

Windows Server 2008サーバーオペレーティングシステムは大幅に向上し、セキュリティの面でも向上していますが、それでもウイルスによる攻撃を受けないことは保証できません。 Windows Server 2008システムのセキュリティを確保するために優れた、私はほとんどのネットワーク管理者がサーバーシステム上のセキュリティ "保護"のセキュリティを保護するために、多数のプロのセキュリティツールを "やる"ことを躊躇しないと思います!プロのセキュリティツールを使用できる場合は、Windows Server 2008システムの機能を最大限に活用して、システムのセキュリティとセキュリティのすべての側面を完全に活用できるため、Windows Server 2008でも安全に実行できます。これは、WindowsServer2008監査機能を使用して、サーバーシステムのすべての操作を追跡および監視し、サーバーシステムの障害を迅速にチェックし、監視結果に従ってサーバーシステムのセキュリティを確保することです。

設定の監査を有効にする

Windows Server 2008システムの監査機能はデフォルトでは有効になっていません。特定のシステムイベントに対して監査を有効にして設定する必要があります。この機能は、同じ種類のシステムイベントを監視および記録しますネットワーク管理者は、将来対応するシステムのログレコードを開くことで、監査機能の監視結果を表示できます。監査機能は、サーバシステムの運用状況を追跡・監視するだけでなく、サーバシステムの運用状況に応じて運用上の不具合を迅速に解消することができます。もちろん、監査機能を有効にするとサーバーシステムの貴重なリソースが消費され、サーバーシステムの実行パフォーマンスが低下することを友人に注意する必要があります。結果の監視と記録このため、サーバーシステムスペースのリソースが限られている場合は、監査機能を慎重に使用して、この機能が特に重要な操作を監視および記録するようにする必要があります。

Windows Server 2008システムの監査機能を有効にして設定すると、システムのスーパー特権で対応するシステムにログインし、システムデスクトップの[スタート]メニューを開き、メニューから[選択]をクリックします。 [コントロールパネル]コマンドを設定し、[システムコントロールパネル]ポップアップウィンドウの[システムとメンテナンス]ボタンをクリックして、表示される管理ツールのリストにある[管理ツール]アイコンをクリックします。 [ローカルセキュリティポリシー]アイコンを探し、そのアイコンをダブルクリックして[ローカルセキュリティポリシーコンソール]ウィンドウを開きます。

次に、ターゲットコンソールウィンドウの左ペインで、[セキュリティ設定] - [ローカルポリシー] - [監査ポリシー]の順に選択し、[監査ポリシー]をクリックします。ポリシーと分岐のオプションの右側のウィンドウに、Windows Server 2008システムには9つの監査ポリシーが含まれていることがわかります。つまり、サーバーシステムでは9つの主要な操作を追跡および記録できます。

監査プロセス追跡ポリシーは、ハンドルハンドルにファイルコピーがあるかシステムリソースがあるかにかかわらず、サーバーシステムのバックグラウンドで突然実行または終了したプログラムなど、サーバーシステムのデーモンの実行状態を追跡するために特に使用されます。アクセスなどの操作の場合、監査機能はそれらを追跡および記録し、監視および記録の内容を対応するシステムのログファイルに自動的に保存することができます。

監査アカウント管理ポリシーは、サーバーシステムのログインアカウントの変更、削除、および追加を追跡および監視するために特に使用され、ユーザーアカウントの追加、ユーザーアカウントの削除、およびユーザーアカウントの操作の変更の操作をすべてレビューします。機能は自動的に記録されます。

監査特権使用ポリシーは、ログアウト操作およびサーバーシステムの実行中のログイン操作に加えて、ユーザーによって実行されたその他の特権操作の追跡および監視に特に使用されます。操作は監査機能レコードによってシステムのセキュリティログに保存されるため、ネットワーク管理者はログの内容に基づいてサーバーのセキュリティに影響する手がかりを簡単に見つけることができます。

さまざまな監査ポリシーが有効になっていると、Windows Server 2008システムはさまざまな種類の操作を追跡して記録しますので、ネットワーク管理者は、それぞれのセキュリティ要件とサーバーシステムのパフォーマンスに従って監査を有効にします。監査機能の役割が十分に活用されていないように、すべての監査戦略を盲目的に有効にするのではなく、戦略。

たとえば、サーバーシステムのログインステータスを追跡および監視して、LANに不正なログイン動作があるかどうかを確認したい場合は、ここで監査ログインイベントポリシーを直接ダブルクリックして開くことができます。ポリシーのオプション設定ダイアログボックスに対応して、[成功]と[成功]を選択し、[OK]ボタンをクリックすると、Windows Server 2008システムは自動的にローカルサーバーシステムになります。ログインサーバーの正常な操作であろうと、ログインサーバーの失敗した操作であろうと、システムのすべてのログイン操作を追跡して記録し、イベントビューアで対応する操作レコードを見つけることができます。本当に違法なログインや違法な侵入さえありますか?

監査機能の記録を表示する

適切な監査ポリシーを有効にして設定すると、Windows Server 2008は自動的に特定の種類の操作を追跡して記録し、その記録を対応する操作に保存します。システムのログファイルが含まれています将来、ネットワーク管理者はログの内容に基づいてサーバーシステムにセキュリティ上の脅威があるかどうかを確認できます。監査機能によって記録されたログの内容を表示するときは、イベントビューア機能を使用して次の手順を実行する必要があります。

最初にスーパー管理者権限でWindows Server 2008システムに入ります。システムデスクトップの[スタート] - [プログラム] - [管理] - [サーバーマネージャ]コマンドをクリックして、対応するシステムのサーバーマネージャコンソールウィンドウを開きます。

次に、コンソールウィンドウの左側にある表示領域で、[診断]分岐オプションの上にマウスを置き、分岐オプションから[イベントビューア] /[ウィンドウログ]をクリックします。;サブアイテム、ターゲットサブアイテムの下に、 "Applications"、 "Safety"、 "Installer"、 "System"、 "Return Events"が表示されます。イベントレコード;

マウスでカテゴリオプションを選択すると、対応するカテゴリの下にあるすべてのイベントレコードを明確に確認してから、マウスを使って2倍にすることができます。あなたはログオプションを指定すると、詳細情報を開くことができ、我々は対象イベント固有のイベント内容、イベントID、およびその他の関連情報源の詳細を表示することができますインターフェイスに記録対象のイベントを選別。

重要なイベントのコンテンツを発見するときに、それに対していくつかの操作を実行することもできます(たとえば、空き時間に重要なイベントのコンテンツを分析するために、まず重要なイベントを保存できます)。重要なイベントコンテンツを保存するときは、目的のイベントコンテンツを右クリックし、ポップアップショートカットメニューから実行して'コマンドとしてイベントを保存し、保存パスを設定して特定のファイル名については、「保存」ボタンをクリックします将来的には以前に保存されたログファイルを呼び出すために右クリックメニューの「保存されたログを保存」コマンドを実行するだけです。サーバーシステムに保存されているイベントが多すぎることがわかった場合は、右クリックメニューの[ログの消去]コマンドを定期的に実行してログレコードを消去し、より貴重なスペースリソースを解放する必要があります。多数のログレコードがある場合は、目的のイベントレコードをすばやく見つけるのは簡単ではありませんが、現時点では "現在のログのフィルタ"コマンドを実行してログレコードをフィルタ処理することがあります。前のページ12次のページ合計2ページ

Copyright © Windowsの知識 All Rights Reserved