マイクロソフトは、Windows 2000のグループポリシーの新しいバージョンを導入するためにあなたのオリジナルの「システムカメラ」

新人開始

1.何

監査ポリシー監査ポリシーをされてきたセキュリティ・メカニズムを送信します。システム内で監査されたイベントをログに記録することができ、システム管理者は生成されたログファイルを介して管理対象領域で発生した疑わしいイベントを簡単に発見および追跡できます。たとえば、だれがどのファイルを訪問したか、どの違法プログラムがコンピュータに侵入したかなどです。

2.すべての「監査ポリシー」のデフォルトが開いていない「監査オブジェクトアクセス」ポリシー

を開く方法は、手動で開く必要があります。 「ローカルセキュリティポリシー]→[コントロールパネル]→[管理ツール」を開くか、「スタート→ファイル名を指定して実行」に「secpol.msc」と入力し、グループポリシーの「ローカルセキュリティ設定」エディタを開いて、検索し、「ローカルポリシー→監査ポリシー]をクリックします右側のペインで[Audit Object Access]をダブルクリックし、[Success]または[Fail]を確認します（図1を参照）。で
3. [イベントログ

は、監査ポリシーの設定情報を取得するためにイベントを通して見る必要がありました。 「スタート→ファイル名を指定して実行」で「Eventvwr.msc」を入力し、「イベントビューア]→[セキュリティ」に移動し、右ペインで多くの「成功の監査」、「失敗の監査」セキュリティイベントを記録しました。通常、記録されたイベントの多くは、スクリーニングすることができ、以下の時間で「フィルタ」タブで、タイプのみ「成功の監査」と「失敗の監査」をチェックして「表示→フィルター」を選択します。そして、「イベントソース「および」カテゴリは、さまざまなレビューオブジェクトおよびレビューコンテンツに従ってスクリーニングできます一般的に、表示する必要があるイベントは560個だけです（図2を参照）。

4.前提

監査ポリシーの実装監査ポリシーの前提、最初にWindows XP Professionalの（またはWindows 2003）をインストールし、書類の監査を必要とし、フォルダ、およびレジストリキーなどをNTFSファイルシステムパーティションに配置し、オブジェクトアクセスイベントの監査ポリシーを上記のように開く必要があります。上記の条件が満たされている場合は、特定のファイルまたはフォルダを確認し、どのユーザーまたはグループを指定してどの種類のアクセス権を指定するかを指定できます。

実用的なアプリケーション

実用的なタスク1：コマーシャルスパイは何をしましたか？

タスク説明：阿久比は最近、いくつかのビジネスの所有者が野火のように広がっ秘密を発見し、彼は従業員がモニタリングの前提の下で彼の男性が訪れたとき、またはことを知ってもらいたい、IT企業のネットワークです会社のコンピュータで指定されたディスクまたはフォルダ内のデータが使用されます。たとえば、サーバーの "D：\\ data"フォルダです。上司はXiao Heが最も疑わしいと感じたので、彼は彼を監視することから始めることにしました。

戦前の分析：従業員が割り当てられているそれぞれの人がいる限り、モニターは、ターゲット・グループへのアクセスを監視する必要性の対象を、アカウントやアクセスを選択して、別のアカウントを（！それらに権利ポリシーの設定を変更していない覚えている）があります権利と執行権開始する前に、まず[フォルダオプション]→[表示]タブの[簡易ファイルの共有を使用する]をキャンセルしてください。

ステップ1：[Audit Policy]の右側にある[Audit Object Access]をダブルクリックし、[Success]をチェックして操作を確認し、エディタを終了します。ターゲットのディスクまたはフォルダを右クリックして[プロパティ]を選択し、[セキュリティ]タブに切り替え、[詳細設定]をクリックして[監査]タブに切り替えます。で
ステップ2：「追加」小さなを使用する方法のユーザ名を入力し、どのような平均的なユーザーグループ（ユーザー）のごく一部あるため、その入力し、「コンピュータ名\\ユーザー」をクリックして、「OK」をクリックします（図3を参照してください。これは、あなたが（図4を参照してください）「？ファイルを実行し、ポールのノミ船煙突アンモニア水プーリー上げāアクセスと実行」どのように小さな目標を監視したいので、すべての操作を決定し、監査プロジェクトの選択ウィンドウが表示されます。

3番目のステップ：この時点で戦略は完成しています。今、あなたはそれがうまくいくかどうか確かめることを試みることができます。イベントビューアを開いて[セキュリティ]を右クリックし、[すべてのイベントを消去]を選択してシステムからログアウトします。この場合、どのように小さなログこのシステムに、どのようにアクセスする「D：\\データ」と（例えば「MSN6.2.exe」ファイルの下のディレクトリに保存され実行されているような）ファイルを実行します。システムからログアウトした後、Aguiは管理者としてログインしてログをチェックしますが、Xiaoheのアクセス動作を明確に記録していますか（図5を参照）。

ハハ、目の手でその証拠は、どのように小さくても賢い、逃れることはできないネットワークKUEI。

実践課題2：自分のIEを「誘拐した」のは誰か知りたい？

タスク説明：私はあなたが同じような経験を持っていたと考えているが、家族は、多くの場合、パソコンでインターネットを使用していますが、コンピュータが見つかっ使用した後、IEのホームページは嫌な男は「誘拐」知りません！元のページに戻ることはできますが、自分がどのWebサイトにアクセスしているのかわかりません。次回IEが「誘拐された」とき、どうすれば殺人者を捕まえることができますか？

戦前の分析：我々は、レジストリキー情報に記録されているモニターは「誘拐犯」を見つけることは困難なものであってはならない限り、それは、実際には、IEのホームページを変更するレジストリにいくつかのキーを追加します知っています。で
ステップ1：で、「オブジェクトアクセスの監査」の監査「成功」を設定してください。レジストリエディタを開き、[HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Internet Explorer \\ Main]を見つけて、[Main]項目を右クリックし、[Permissions]を選択します。

ヒント
必要に応じて、[HKEY_LOCAL_MacHINE \\ Software \\ Microsoft \\ Internet Explorer \\ Main]を監視することもできます。で
ステップ2：「詳細設定」をクリックし、「監査」に切り替え、現在のユーザーアカウントを入力し、アクセス監査プロジェクトで「設定値」の後にこのルールを適用しますチェック。で
ステップ3：オープン http://www.cfan.com.cn
、デフォルトとして現在のページに「一般的」項目の下に「ツール→インターネットオプション」を選択ホームこの時点で、イベントログビューアを開いて、ログレコードに基づいて変更されたレジストリエントリを簡単に見つけます（図6を参照）。

実用的なタスク3：レジストリの「内側の幽霊」から抜け出すにはどうすればいいですか？

タスクの説明：いくつかのソフトウェアは、インストール後に自動的にユーザーにプロンプ​​トを表示せずに起動するプログラムを追加し、さらに悪いトロイの木馬が登場！そして、これらの卑劣な振る舞いは直接見るのが難しいことが多いのです。それで、レジストリに置かれている「内なる幽霊」をどのように識別して抽出することができるでしょうか。

戦前の分析：関連記事17で次の作業は、「ゴーストレジストリをキャッチ - レジストリリスナー」の2004年問題1件の記事で紹介されているが、著者は多くのレジストリであります監視ソフトウェアを完了する。実際には、監視ソフトウェアの原則を使用すると、スタートアップグループからレジストリキーがでこのタスクを達成するために、「オブジェクトアクセスの監査」戦略今、前と裁判官の変更後に基づき、監視とターゲットデータを監視し、システムを制御することです。 MSNメッセンジャーをインストールした後、例として自動起動アイテムを自動的に追加します。

最初のステップ：同じように、レジストリの見直しの確立[HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Runを]キーポリシーの変更。

ステップ2：イベントログビューアを開いてリストをクリアし、MSN Messengerをインストールします。ステップ3：ログビューアを再度開くと、右側のウィンドウに自己起動を変更するためのイベントレコードが表示されます（図7を参照）。で

スケジュール：レジストリプログラム9つの隠れ家

ロード登録キーます。HKEY_CURRENT_USER \\ Software \\ Microsoftの発売以来\\ WindowsNTの\\ CurrentVersionのマイクロソフト\\ Windowsの\\負荷

USERINITレジストリキーHKEY_LOCAL_MACHINE \\ SOFTWARE \\ \\ WindowsNTの\\ CurrentVersionのWinlogonプロセス\\ USERINIT

ExplorerRunレジストリキーます。HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windowsの\\ \\ CurrentVersionのポリシー\\ \\エクスプローラ\\実行

とHKEY_LOCAL_MACHINE \\ SOFTWARE \\マイクロソフト\\ Windowsの現在の\\バージョン\\ポリシーは一度<エクスプローラ\\実行

のRunServicesOnceレジストリキーます。HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windowsの\\ CurrentVersionの\\ RunServices \\を\\ BR>
とHKEY_LOCAL_MacHI NESO
FTWAREMicrosoft WindowsCurrentVersionRunServicesOnce

RunServicesレジストリキーます。HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windowsの\\ CurrentVersionの\\ RunServices

とHKEY_LOCAL_MACHINE \\ SOFTWARE \\マイクrosoft \\ Windows \\ CurrentVersion \\ Run画面\\ Servicesの

RunOnceSetupレジストリキーます。HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windowsの\\ CurrentVersionの\\ RunOnceSetup
およびMicrosoft \\ Windowsの\\ CurrentVersionの\\ RunOnceSetup

\\ HKEY_LOCAL_MACHINE \\ SOFTWAREのマイクロソフト\\ Windowsの\\ CurrentVersionの\\ RunOnceをしてます。HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windowsの\\ RunOnceをレジストリキーHKEY_LOCAL_MACHINE \\ SOFTWARE \\ CurrentVersionのRunOnceを

実行レジストリキーHKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Runをし、HKEY_LOCAL_MACHINE \\ SOFTWARE \\ \\ Microsoft \\ Windows \\ CurrentVersion \\ Run