亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

一、最少訪問操作原則。

　　在Windows7種，將這個訪問操作分為很細(xì)，如修改權(quán)限、更改所有者等等十多種訪問操作。雖然系統(tǒng)管理員需要花一定的時間去考慮該選擇哪些操作或者進(jìn)行相關(guān)的設(shè)置，但是對于系統(tǒng)管理員來說這仍然是一個福音。權(quán)限細(xì)分意味著管理員選擇特定的訪問操作之后，就可以得到最少的審核記錄。簡單的說，“產(chǎn)生的審核記錄最少而且可以涵蓋用戶的安全需求”這個目標(biāo)更容易實(shí)現(xiàn)。因?yàn)樵趯?shí)際工作中，往往只需要對特定的操作進(jìn)行審計即可。如只對用戶更改文件內(nèi)容或者訪問文件等少部分操作進(jìn)行審計即可。而不需要對全部操作進(jìn)行審計。如此產(chǎn)生的審計記錄就會少的多，同時用戶的安全需求也得以實(shí)現(xiàn)。

二、失敗操作優(yōu)先選擇。

　　對于任何的操作，系統(tǒng)都分為成功與失敗兩種情況。在大部分情況下，為了收集用戶非法訪問的信息，只需要讓系統(tǒng)記入失敗事件即可。如某個用戶，其只能夠只讀訪問某個共享文件。此時管理員就可以給這個文件設(shè)置一個安全訪問策略。當(dāng)用戶嘗試更改這個文件時將這個信息記入下來。而對于其他的操作，如正常訪問時則不會記錄相關(guān)的信息。這也可以大幅度的減少安全審計記錄。所以筆者建議，一般情況下只要啟用失敗事件即可。在其不能夠滿足需求的情況下，才考慮同時啟用成功事件記錄。此時一些合法用戶合法訪問文件的信息也會被記錄下來，此時需要注意的是，安全日志中的內(nèi)容可能會成倍的增加。在Windows7操作系統(tǒng)中可以通過刷選的方式來過濾日志的內(nèi)容，如可以按“失敗事件”，讓系統(tǒng)只列出那些失敗的記錄，以減少系統(tǒng)管理員的閱讀量。

三、如何利用蜜糖策略收集非法訪問者的信息？

　　在實(shí)際工作中，系統(tǒng)管理員還可以采用一些“蜜糖策略”來收集非法訪問者的信息。什么叫做蜜糖策略呢？其實(shí)就是在網(wǎng)絡(luò)上放點(diǎn)蜜糖，吸引一些想偷蜜的蜜蜂，并將他們的信息記錄下來。如可以在網(wǎng)絡(luò)的共享文件上，設(shè)置一些看似比較重要的文件。然后在這些文件上設(shè)置審計訪問策略。如此，就可以成功地收集那些不懷好意的非法入侵者。不過這守紀(jì)起來的信息，往往不能夠作為證據(jù)使用。而只能夠作為一種訪問的措施。即系統(tǒng)管理員可以通過這種手段來判斷企業(yè)網(wǎng)絡(luò)中是否存在著一些“不安分子”，老是試圖訪問一些未經(jīng)授權(quán)的文件，或者對某些文件進(jìn)行越權(quán)操作，如惡意更改或者刪除文件等等。知己知彼，才能夠購百戰(zhàn)百勝。收集了這些信息之后，系統(tǒng)管理員才可以采取對應(yīng)的措施。如加強(qiáng)對這個用戶的監(jiān)控，或者檢查一下這個用戶的主機(jī)是否已經(jīng)成為了別人的肉雞等等�？傊�系統(tǒng)管理員可以利用這種機(jī)制來成功識別內(nèi)部或者外部的非法訪問者，以防止他們做出更加嚴(yán)重的破壞。

四、 注意：文件替換并不會影響原有的審計訪問策略

設(shè)置安全審計

　　如上圖中，有一個叫做捕獲的圖片文件，為其設(shè)置了文件級別的安全審計訪問，沒有在其文件夾“新建文件夾”上設(shè)置任何的安全審計訪問策略。此時，筆者如果將某個相同的文件（文件名相同且沒有設(shè)置任何的安全審計訪問策略）復(fù)制到這個文件夾中，把原先的文件覆蓋掉。注意此時將這個沒有設(shè)置任何的安全審計訪問策略。文件復(fù)制過去之后，因?yàn)橥�名會將原先的文件覆蓋掉。但是，此時這個安全審計訪問策略的話就轉(zhuǎn)移到新復(fù)制過去的那個文件上了。換句話說，現(xiàn)在新的文件有了原來覆蓋掉的那個文件的安全審計訪問權(quán)限。這是一個很奇怪的現(xiàn)象，筆者也是在無意之中發(fā)現(xiàn)。不知道這是Windows7 操作系統(tǒng)的一個漏洞呢，還是其故意這么設(shè)置的？這有待微軟操作系統(tǒng)的開發(fā)者來解釋了。