用“审核”来监控Windows Vista的一举一动

　　“审核”功能就像Windows的晴雨表，据此我们可以了解计算机的一举一动，并且可以根据这些信息来维护计算机系统的安全以及进行故障点排除。在Vista中，“审核”功能比以往更加强大，本文将和大家一起探讨其在Vista下的应用。　　

　　1、启用审核的策略　　

　　所谓的审核就是跟踪，启用相应的审核功能后系统就会跟踪并记录事件的过程，方便管理员查看。利用审核功能，我们不仅可以监视用户在计算机上进行的操作，还可以根据系统运行状态对故障进行排除。但是，开启了审核就会降低系统的性能，因为系统为此需要耗费一部分资源用于记录和存储事件。因此，我们在启用审核时要根据需要制订审核策略。　　

　　作为管理员需要明确以下几个方面：需要对哪些内容进行审核;是否合理设置了审核策略;哪些用户有权访问日志;由谁了负责收集和归档日志;日志备份的相关工作如何进行;日志丢失后如何处理;日志保存和审查的周期;审查日志需要用到的工具和措施;在日志中发现安全问题后如何处理等。只有这样才能在审核好系统性能之间取得一个平衡。　　

　　2、配置审核策略　　

　　审核是对具体事件的过程进行监视和记录，因此会将结果保存到系统的事件日志中。当然，除非开启了相应的审核功能，否则Windows Vista不会记录安全日志。开启审核功能的方法是：依次单击“开始”→“控制面板”→“系统和维护”→“管理工具”，打开“本地安全策略”控制台。然后在“本地策略”→“审核策略”中找到相应的审核策略。　　

　　在Vista中可启用的审核策略有9项之多，比如“审核特权使用”，用来记录用户在系统操作过程中行使除登录、注销和网络之外的权限。“审核帐户管理”，记录用户帐户的创建、删除、更改等事件。“审核进程跟踪”，跟踪并记录进程的后台运行，例如程序的激活，handle句柄的复制和对文件管理资源的访问等。启用各种审核策略的方法类似，至于启用什么样的审核策略，要根据自己安全需要进行选择。

　　例如要审核登录事件，只需双击打开该策略，然后勾选审核包括事件的成功和失败，最后单击“定”即可。这样Windows Vista就可以开始审核本地所有用户帐户的登录事件，包括用户成功登录和登录失败，这样有利用发现系统是否被非法登录并被入侵。

　　3、查看审核报告　　

　　在启用了审核策略后，系统就会在系统的日志中记录相关的事件。如果要查看日志，就需要通过“事件查看器”来进行查看，依次单击“开始”→“控制面板”→“系统和维护”→“管理工具”，打开“事件查看器”控制台，在“Windows 日志”下分别有“应用程序”、“安全”、“安装程序”、“系统”、“转发事件”等多个类别，单击不同类别可以在中间的窗格中查看到所有该类别的事件记录。双击某个事件记录，可以打开该记录的详细信息窗口，用户便可以了解该事件的来源和发生事件、事件ID等。　　　　

　　右击某一类的事件日志，可以对其日志进行一些操作。例如，我们可以选择“将事件另存为”来导出该类别的事件日志;选择“打开保存的日志”，用于导入已存在的事件日志;如果日志记录太多，为了释放更多的空间，我们可以选择“清除日志”选项来清除所有记录;而管理员需要在众多的记录中找到自己所需的信息，可以借助“筛选当前日志”功能，根据事件级别、事件ID、关键字、用户等信息进行筛选。

　　4、监控文件访问　　

　　文件监控在现实环境中非常实用，比如管理员设置了一个共享文件夹，但被人改得面目全非，我们就可以通过文件夹监控来确定到底是哪些用户对文件夹进行了操作，然后进一步确定是哪个用户做的。需要说明的是，文件或者文件夹的监控是基于NTFS文件系统，所以分区格式必须是这种格式。　　

　　首先在“本地安全策略”中启用“审核对象访问”策略，为了准确定位，我们可以只对“成功”事件进行记录。然后定位到需要监控的文件夹，右键点击选择“属性”，在“安全”选项卡中单击“高级”按钮，接着选择“审核”选项卡单击“继续”按钮，在打开的窗口中单击“添加”按钮，输入要添加审核的用户帐户或用户组的名称。然后在“审核项目”面板中勾选需要监控的操作，包括创建文件/写入数据、删除等。如果要监控用户的所有操作可以选择“完全控制”。最后单击“确定”按钮，即可完成审核的设置。

　　这样系统会将指定的事件记录在系统日志中，我们可以通过“时间查看器”的“Windows 日志”→“安全”中查看到相关的记录。当然，此时的事件记录是非常多的，我们可以通过“筛选器”进行筛选。右键点击左侧的“安全”选择“筛选当前日志”打开筛选窗口。在“筛选器”选项卡下进行筛选设置，因为我们要查看是拷贝的文件“事件来源选择”就选择“Security-Auditing”，“任务类别”选择“文件系统”，“事件ID”输入“4656”所示，然后“确定”退出。这时候，在“事件查看器”右边列出的就是每一次读取数据的信息了。双击每一项目可查看详细信息，注意带有 Object Type: File 的项目才是对文件的访问。我们双击打开就可以看到hacker用户就fr文件夹进行的拷贝操作。

　　总结：本文只以文件监控为例演示了Vista“审核”功能在系统安全方面的应用，其实它的应用是非常广泛的。不过，其使用方法类似，一般是先启用想要的“审核”策略，然后通过“事件查看器”进行查看。当然，灵活应用“筛选器”可以帮助我们快速定位到我们需要查看的项目。