在審計(jì)文件訪問(wèn)策略中，可以根據(jù)需要選擇多種安全審計(jì)策略，即可以告訴操作系統(tǒng)，在發(fā)生哪些操作時(shí)將訪問(wèn)的信息記入到安全日志中，包括訪問(wèn)人員、訪問(wèn)者的電腦、訪問(wèn)時(shí)間、進(jìn)行了什么操作等等。如果將全部的訪問(wèn)操作都記錄在日志中，那么日志的容量會(huì)變得很大，反而不易于后許的維護(hù)與管理。為此系統(tǒng)管理員在設(shè)置審計(jì)文件訪問(wèn)策略時(shí)，往往需要選擇一些特定的事件，以減少安全訪問(wèn)日志的容量。為了達(dá)到這個(gè)目的，下面的一些建議各位系統(tǒng)管理員可以參考一下。

一、最少訪問(wèn)操作原則。

在Windows 7中，將這個(gè)訪問(wèn)操作分為很細(xì)，如修改權(quán)限、更改所有者等等十多種訪問(wèn)操作。雖然系統(tǒng)管理員需要花一定的時(shí)間去考慮該選擇哪些操作或者進(jìn)行相關(guān)的設(shè)置，但是對(duì)于系統(tǒng)管理員來(lái)說(shuō)這仍然是一個(gè)福音。權(quán)限細(xì)分意味著管理員選擇特定的訪問(wèn)操作之后，就可以得到最少的審核記錄。簡(jiǎn)單的說(shuō)，“產(chǎn)生的審核記錄最少而且可以涵蓋用戶的安全需求”這個(gè)目標(biāo)更容易實(shí)現(xiàn)。因?yàn)樵趯?shí)際工作中，往往只需要對(duì)特定的操作進(jìn)行審計(jì)即可。如只對(duì)用戶更改文件內(nèi)容或者訪問(wèn)文件等少部分操作進(jìn)行審計(jì)即可。而不需要對(duì)全部操作進(jìn)行審計(jì)。如此產(chǎn)生的審計(jì)記錄就會(huì)少的多，同時(shí)用戶的安全需求也得以實(shí)現(xiàn)。

二、失敗操作優(yōu)先選擇。

對(duì)于任何的操作，系統(tǒng)都分為成功與失敗兩種情況。在大部分情況下，為了收集用戶非法訪問(wèn)的信息，只需要讓系統(tǒng)記入失敗事件即可。如某個(gè)用戶，其只能夠只讀訪問(wèn)某個(gè)共享文件。此時(shí)管理員就可以給這個(gè)文件設(shè)置一個(gè)安全訪問(wèn)策略。當(dāng)用戶嘗試更改這個(gè)文件時(shí)將這個(gè)信息記入下來(lái)。而對(duì)于其他的操作，如正常訪問(wèn)時(shí)則不會(huì)記錄相關(guān)的信息。這也可以大幅度的減少安全審計(jì)記錄。所以筆者建議，一般情況下只要啟用失敗事件即可。在其不能夠滿足需求的情況下，才考慮同時(shí)啟用成功事件記錄。此時(shí)一些合法用戶合法訪問(wèn)文件的信息也會(huì)被記錄下來(lái)，此時(shí)需要注意的是，安全日志中的內(nèi)容可能會(huì)成倍的增加。在Windows 7操作系統(tǒng)中可以通過(guò)刷選的方式來(lái)過(guò)濾日志的內(nèi)容，如可以按“失敗事件”，讓系統(tǒng)只列出那些失敗的記錄，以減少系統(tǒng)管理員的閱讀量。

三、如何利用蜜糖策略收集非法訪問(wèn)者的信息？

在實(shí)際工作中，系統(tǒng)管理員還可以采用一些“蜜糖策略”來(lái)收集非法訪問(wèn)者的信息。什么叫做蜜糖策略（蜜罐策略）呢？其實(shí)就是在網(wǎng)絡(luò)上放點(diǎn)蜜糖，吸引一些想偷蜜的蜜蜂，并將他們的信息記錄下來(lái)。如可以在網(wǎng)絡(luò)的共享文件上，設(shè)置一些看似比較重要的文件。然后在這些文件上設(shè)置審計(jì)訪問(wèn)策略。如此，就可以成功地收集那些不懷好意的非法入侵者。不過(guò)這守紀(jì)起來(lái)的信息，往往不能夠作為證據(jù)使用。而只能夠作為一種訪問(wèn)的措施。即系統(tǒng)管理員可以通過(guò)這種手段來(lái)判斷企業(yè)網(wǎng)絡(luò)中是否存在著一些“不安分子”，老是試圖訪問(wèn)一些未經(jīng)授權(quán)的文件，或者對(duì)某些文件進(jìn)行越權(quán)操作，如惡意更改或者刪除文件等等。知己知彼，才能夠購(gòu)百戰(zhàn)百勝。收集了這些信息之后，系統(tǒng)管理員才可以采取對(duì)應(yīng)的措施。如加強(qiáng)對(duì)這個(gè)用戶的監(jiān)控，或者檢查一下這個(gè)用戶的主機(jī)是否已經(jīng)成為了別人的肉雞等等?？傊到y(tǒng)管理員可以利用這種機(jī)制來(lái)成功識(shí)別內(nèi)部或者外部的非法訪問(wèn)者，以防止他們做出更加嚴(yán)重的破壞。

四、 注意：文件替換并不會(huì)影響原有的審計(jì)訪問(wèn)策略

設(shè)置安全審計(jì)

如上圖中，有一個(gè)叫做捕獲的圖片文件，為其設(shè)置了文件級(jí)別的安全審計(jì)訪問(wèn)，沒(méi)有在其文件夾“新建文件夾”上設(shè)置任何的安全審計(jì)訪問(wèn)策略。此時(shí)，筆者如果將某個(gè)相同的文件（文件名相同且沒(méi)有設(shè)置任何的安全審計(jì)訪問(wèn)策略）復(fù)制到這個(gè)文件夾中，把原先的文件覆蓋掉。注意此時(shí)將這個(gè)沒(méi)有設(shè)置任何的安全審計(jì)訪問(wèn)策略。文件復(fù)制過(guò)去之后，因?yàn)橥麜?huì)將原先的文件覆蓋掉。但是，此時(shí)這個(gè)安全審計(jì)訪問(wèn)策略的話就轉(zhuǎn)移到新復(fù)制過(guò)去的那個(gè)文件上了。換句話說(shuō)，現(xiàn)在新的文件有了原來(lái)覆蓋掉的那個(gè)文件的安全審計(jì)訪問(wèn)權(quán)限。這是一個(gè)很奇怪的現(xiàn)象，筆者也是在無(wú)意之中發(fā)現(xiàn)。不知道這是Windows 7操作系統(tǒng)的一個(gè)漏洞呢，還是其故意這么設(shè)置的？這有待微軟操作系統(tǒng)的開(kāi)發(fā)者來(lái)解釋了。

【編輯推薦】

1. IE 9 RC在Windows 7出現(xiàn)內(nèi)存泄露問(wèn)題
2. 七步完成Windows 7大規(guī)模桌面部署
3. 五款免費(fèi)的Windows 7系統(tǒng)優(yōu)化工具
4. 如何讓W(xué)indows 7自動(dòng)更新硬件驅(qū)動(dòng)
5. 亞馬遜：微軟將停售Windows 7家庭包