本文介紹了在WindowsServer2008R2系統(tǒng)中使用事件查看器，啟用審計(jì)功能來審計(jì)域管理員，查看系統(tǒng)記錄的事件，判斷如何賦予這個(gè)管理員的權(quán)限的內(nèi)容。具體內(nèi)容如下所述。

微軟系統(tǒng)中任何關(guān)于如何限制或控制管理員權(quán)限的討論通常都會(huì)得到這樣的結(jié)果：你怎樣才能不把管理權(quán)限送給那些你不信任的人?這有一定道理，但是在沒有證據(jù)表明管理員做錯(cuò)了事情的情況下，如何才能正確判斷一個(gè)管理員是否值得信任呢?再者，你如何證明你的判斷呢?

你不能剝奪一個(gè)域管理員太多權(quán)限，尤其是在每個(gè)域都要管理的多網(wǎng)域環(huán)境下，所以說有時(shí)候限制管理員的權(quán)利和授權(quán)活動(dòng)這項(xiàng)工作很難實(shí)現(xiàn)。輔助人員和供給人員通常也需要具有管理權(quán)利，而且有時(shí)政治需求還會(huì)需要更多的管理人員。所以，真正的問題是，你如何去審計(jì)一個(gè)管理員?

雖然答案是只要啟用審計(jì)就行了，但是只是簡(jiǎn)單地啟用審計(jì)功能并不能解決所有的問題。舉例來說，我最近與許多管理員一起進(jìn)行了一項(xiàng)大型的活動(dòng)目錄部署活動(dòng)。他們有一個(gè)應(yīng)用程序，使用特定的用戶對(duì)象屬性提供對(duì)該應(yīng)用程序的連接。站在安全相關(guān)立場(chǎng)，他們發(fā)現(xiàn)管理員可以禁用審計(jì)功能，修改一些關(guān)鍵的屬性，并且可以對(duì)該應(yīng)用程序做壞事。然后該管理員可以重新啟用審計(jì)功能而不會(huì)被覺察---甚至WindowsServer2008R2的屬性審計(jì)功能也是如此。啟用審計(jì)功能的時(shí)候，系統(tǒng)可以記錄足夠的事件，從中可以看出誰改變了對(duì)象，以及誰改變了屬性。但是由于審計(jì)功能被禁用，所有這方面的證據(jù)都消失了。

事實(shí)證明，當(dāng)非目錄對(duì)象審計(jì)功能開啟的時(shí)候，事件ID4907(圖1)被記錄了下來，然而目錄對(duì)象的審計(jì)卻沒有記錄這個(gè)事件。

圖1.事件ID4907

雖然這個(gè)事件清楚地顯示出了審計(jì)政策發(fā)生了變化以及誰進(jìn)行的這項(xiàng)改變，但是我們不能在微軟系統(tǒng)中用其它方法在事情被記錄之前得到所需信息，我需要這方面的功能。這很重要，因?yàn)樗试S我向大家示范事件查看器的強(qiáng)大功能，比如為WindowsServer2008R2準(zhǔn)備的自定義查看以及排序分類/存儲(chǔ)過濾器功能等。如果啟用對(duì)象審計(jì)的話，詳細(xì)的審計(jì)會(huì)在安全日志中添加數(shù)量巨大的事件。在舊版本的事件查看器中，從這些事件中選出你想要的分類非常困難。

為了審計(jì)目錄對(duì)象，必須啟用待審計(jì)的對(duì)象上面的組策略對(duì)象設(shè)置選項(xiàng)“審計(jì)目錄服務(wù)訪問”(圖2)。

圖2.審計(jì)目錄服務(wù)訪問GPO

另外，審計(jì)必須在對(duì)象本身執(zhí)行。比如，要配置用戶對(duì)象的審計(jì)設(shè)置，步驟如下：

(ADUC活動(dòng)目錄用戶和電腦)的管理單元中找到想要設(shè)置的對(duì)象。

打開對(duì)象屬性對(duì)話框并選擇安全選項(xiàng)卡。一定要在查看菜單中啟用高級(jí)功能。

在安全頁(yè)選項(xiàng)卡中，點(diǎn)擊高級(jí)按鈕。

在高級(jí)屬性對(duì)話框中，選擇審計(jì)選項(xiàng)卡。選擇添加按鈕來添加用戶或者組審計(jì)，如圖3所示。你可以在接下來的窗口中指定安全選項(xiàng)。點(diǎn)擊確定按鈕退出所有打開的窗口。

用審計(jì)屬性中指定的管理員身份登錄，測(cè)試審計(jì)功能是否ok(在我的例子中指定的管理員是JrAdmin)。修改審計(jì)功能已經(jīng)開啟的對(duì)象并檢查安全事件日志。舉個(gè)例子，你可以刪除用戶對(duì)象或者修改其中的一個(gè)屬性。

圖3.ADUC中的高級(jí)安全設(shè)置

審計(jì)功能開啟之后，會(huì)有大量的事件出現(xiàn)在安全日志中，常見的有以下幾種：

事件ID4738---當(dāng)對(duì)象被修改的時(shí)候系統(tǒng)就會(huì)記錄該事件。

事件ID4662---許多這種事件帶有各種各樣的少量信息(圖4)。在我的工程中，一個(gè)單一的對(duì)象改動(dòng)就產(chǎn)生了25個(gè)這種事件。

圖4.EventID4662的屬性

事件ID5136---這個(gè)事件提供了更多改動(dòng)的詳細(xì)信息，請(qǐng)看下面的例子。請(qǐng)注意我們可以看到用戶改變目錄對(duì)象的DN，也能夠看到對(duì)象的DN。我們還可以看到描述屬性發(fā)生了改動(dòng)，因?yàn)槲覀兛吹搅嗽瓉淼闹狄约氨粍h除的值(請(qǐng)注意這里為了簡(jiǎn)短起見有些內(nèi)容被刪除了)：

LogName:Security  
 
EventID:5136  
 
TaskCategory:DirectoryServiceChanges  
 
Computer:w2k8r2-dc1.w2k8r2.Wtec.adapps.hp.com  
 
Description:Adirectoryserviceobjectwasmodified.  
 
Subject:  
 
SecurityID:W2K8R2\JrAdmin  
 
AccountName:JrAdmin  
 
AccountDomain:W2K8R2  
 
DirectoryService:  
 
Name:w2k8r2.Wtec.adapps.hp.com  
 
Object:  
 
DN:  
 
CN=AdmUser401,OU=Atlanta,DC=w2k8r2,DC=Wtec,DC=adapps,DC=hp,DC=com 
 
GUID:  
 
CN=AdmUser401,OU=Atlanta,DC=w2k8r2,DC=Wtec,DC=adapps,DC=hp,DC=com 
 
Class:user  
 
Attribute:  
 
LDAPDsplayName:description  
 
Syntax(OID):2.5.5.12  
 
Value:Thisisatest  
 
Operation:  
 
Type:ValueDeleted  
 
CorrelationID:{1e193e1d-537f-49c7-bb69-bb50aa4542c2}  
 
ApplicationCorrelationID:-  
 

現(xiàn)在讓我們來考慮幾個(gè)選項(xiàng)以及結(jié)果。

啟用GPO審計(jì)(目錄訪問)，但是對(duì)象審計(jì)被禁用

結(jié)果：當(dāng)用戶從對(duì)象審計(jì)列表中移出的時(shí)候，系統(tǒng)記錄了事件ID4662。

結(jié)果：當(dāng)改變對(duì)象的時(shí)候，系統(tǒng)記錄了事件ID4738。

禁用GPO審計(jì)(目錄訪問)，啟用對(duì)象審計(jì)。

-*#160結(jié)果：事件ID4662,4738和5136都被記錄了下來。

我們可以很容易地看到開啟完整審計(jì)功能與禁用GPO審計(jì)而啟用對(duì)象審計(jì)時(shí)事件數(shù)量上的區(qū)別。請(qǐng)注意，即便是禁用了GPO審計(jì)，重要事件ID5136也會(huì)被記錄，它會(huì)顯示出屬性改變的詳細(xì)信息以及誰進(jìn)行了這個(gè)改變。如果GPO審計(jì)和對(duì)象審計(jì)都被禁用，系統(tǒng)只會(huì)記錄一種事件EventID4738，這個(gè)事件中沒有任何有用信息：

LogName:Security  
 
EventID:4738  
 
Computer:w2k8r2-dc1.w2k8r2.Wtec.adapps.hp.com  
 
Description:Auseraccountwaschanged.  
 
Subject:  
 
SecurityID:W2K8R2\JrAdmin  
 
AccountName:JrAdmin  
 
AccountDomain:W2K8R2  
 
TargetAccount:  
 
SecurityID:W2K8R2\AdmUser400  
 
AccountName:AdmUser400  
 
AccountDomain:W2K8R2  
 

請(qǐng)注意，雖然各種審計(jì)功能的組合能夠產(chǎn)生某些事件，但是對(duì)于目錄對(duì)象來說，還是沒有事件能夠記錄其審計(jì)策略的改變。非目錄對(duì)象(文件、文件夾等等)會(huì)記錄在事件ID4907中。

總結(jié)：

知道了上述的這些事件，那么解決方案是什么呢?下篇文章中，我們將詳細(xì)為您提供相應(yīng)的解決方案。

【編輯推薦】

1. 用域管理員工賬號(hào)使之按需使用
2. 活動(dòng)目錄災(zāi)難管理員應(yīng)該如何應(yīng)對(duì)
3. 為L(zhǎng)inux管理員節(jié)省時(shí)間的十條命令行
4. 新概念運(yùn)維之管理員們破壞的數(shù)據(jù)總要比黑客多
5. Cacti：AppServ環(huán)境，事件查看器報(bào)錯(cuò)_httpd php5ts