當(dāng)考慮到網(wǎng)絡(luò)安全監(jiān)控問題時，大部分IT專家都會想到IDS/IPS系統(tǒng)（入侵檢測/入侵預(yù)防系統(tǒng)）。目前市面上有大量的硬件和軟件解決方案是針對如何發(fā)現(xiàn)和捕獲數(shù)據(jù)流中的不良進(jìn)程（即IDS），或者是讓惡意進(jìn)程更難以完成攻擊企業(yè)網(wǎng)絡(luò)的活動（即IPS）。現(xiàn)在，微軟的用戶可以通過系統(tǒng)中心擁有提升任何IDS 或IPS系統(tǒng)的工具了，這就是微軟系統(tǒng)中心操作管理器（SCOM）中提供的審核收集服務(wù)（ACS）。

ACS是對任何IDS或IPS系統(tǒng)的補(bǔ)足。ACS可以針對Windows或Linux系統(tǒng)上運(yùn)行的安全策略，生成一致性評估報告。比如一個常見的針對特權(quán)成員組的策略，如Domain Admins組，應(yīng)該盡量控制成員人數(shù)并受到嚴(yán)格控制。ACS可以定期查看該組成員人數(shù)，確保符合策略要求。ACS還可以根據(jù)需求生成一些可供法庭使用的證據(jù)報告。

部署 ACS

如果企業(yè)已經(jīng)部署了系統(tǒng)中心操作管理器 (SCOM)，那么就可以立即安裝ACS。在Windows系統(tǒng)中，SCOM 2012中的ACS部署過程與在SCOM 2007 R2中完全一致。另外，SCOM 2012也可以直接支持Linux和UNIX系統(tǒng)的安全事件審計，而在SCOM 2007 R2中，這個功能必須通過安裝插件的形式實(shí)現(xiàn)。所以，不論你采用的是什么版本的SCOM，都可以實(shí)現(xiàn)針對Windows系統(tǒng)和Linux/UNIX系統(tǒng)的ACS部署。

對于 ACS的管理同樣是在基本的SCOM管理服務(wù)器和代理框架下進(jìn)行的。你可以指定一個SCOM管理服務(wù)器作為ACS控制器，并建立一個專用的SQL數(shù)據(jù)庫。然后就可以將ACS報表上傳到SCOM管理組的報表服務(wù)器中。最后，在SCOM控制臺里以任務(wù)的方式激活SCOM所管理的計算機(jī)上的審計代理組件（forward）并將ACS forwarder指向ACS控制器。

ACS審計數(shù)據(jù)被保存在數(shù)據(jù)庫中，并可以通過報表形式被訪問。圖A右側(cè)顯示出了Windows系統(tǒng)默認(rèn)的審計報表項(xiàng)目。對于 Linux/UNIX 系統(tǒng)，默認(rèn)的報表包括forensic以及不成功的登錄嘗試、賬戶管理活動、管理員活動，以及特權(quán)登錄報告等。

圖A  SCOM中自帶的審計報告項(xiàng)目

將數(shù)據(jù)導(dǎo)入 ACS

默認(rèn)情況下， Windows系統(tǒng)中審計的項(xiàng)目不多，因?yàn)橛嬎銠C(jī)的安全日志中記載的事件不多。當(dāng)使用安全策略后，審計的效果就會顯示出來。在活動目錄域環(huán)境中，我們使用的是組策略。對于工作組計算機(jī)，本地安全策略可以被手動導(dǎo)入或?qū)С龅狡渌ぷ鹘M計算機(jī)。Windows系統(tǒng)的域和本地安全策略有九項(xiàng)內(nèi)容可以被設(shè)定為審計項(xiàng)目，如圖B所示，圖中顯示的是推薦為“安全級別”的安全策略。

圖B  Windows域和本地安全策略中可以被審計的類型

在圖B中，Policy Settings列里的Success, Failure,或Not Defined等設(shè)置值都是默認(rèn)的“安全級別”所推薦的設(shè)置。一般來說，將其應(yīng)用到活動目錄的域和域控制器組策略中都是不錯的選擇，而且不會導(dǎo)致過多的審計活動出現(xiàn)。另外，建議大家新建一個組策略，設(shè)定域控制器和成員服務(wù)器安全日志的最大容量。一般來說，推薦域控制器設(shè)置安全日志的最小容量是160MB，成員服務(wù)器的安全日志容量是16MB。

運(yùn)行 ACS Reports查看審計數(shù)據(jù)

默認(rèn)情況下，ACS將審計的數(shù)據(jù)保留14天，第15天的凌晨2點(diǎn)，保留期之前的數(shù)據(jù)會被清理。我們可以在SCOM控制臺中查看審計數(shù)據(jù)，也可以設(shè)定SCOM自動將審計報表發(fā)布到網(wǎng)絡(luò)文件共享服務(wù)器，以便歸檔或不登錄控制臺時查看。圖C顯示的是審計報表界面：一項(xiàng)安全審計報告，內(nèi)容是最近兩天特權(quán)用戶的登錄情況。

圖C

在建立了與圖B所示的安全策略類似的策略后， ACS所提供的大多數(shù)審計報表，都會包含大量對網(wǎng)絡(luò)安全管理有意義的數(shù)據(jù)。其它一些報表，如forensic報表，可以用來重構(gòu)服務(wù)器之間的用戶登錄活動。除了圖 C所示的特權(quán)用戶登錄情況報表外，下面幾個ACS默認(rèn)的報表也非常有價值：

Access Violation:不成功的登錄嘗試活動

Account Management:域和內(nèi)置管理員更改活動

System Integrity: 審計日志清理活動（通常視為可疑活動）

Usage: 敏感的安全組活動