注重：防止對事件日志進行來賓訪問只能限制非域成員訪問這些事件日志。在默認情況下，域中的所有用戶都可訪問系統日志和應用程序日志。只有安全日志的訪問受到限制。指定了“Manage auditing and security log”（治理審核和安全日志）用戶權限的安全主要對象可訪問安全日志。在默認情況下，此用戶權限只分配給治理員和 Exchange 企業(yè)服務器。

其他最佳審核方法
除了配置審核之外，還應實現一些其他方法，從而有效審核服務器環(huán)境的安全性。這些方法包括：

• 安排定期復查事件日志。

• 復查其他應用程序日志文件。

• 監(jiān)視安裝的服務和驅動程序。

• 監(jiān)視打開的端口。


安排定期復查事件日志

正如上面提到的，安全日志及可能生成的其他事件日志應寫入可移動材料中，或合并到一個中心位置以便于進行復查。復查這些日志經常被人們遺漏。

Contoso 已完成了大量的工作，確保有一人或一個部門負責將復查事件日志作為定期的任務來執(zhí)行。這樣的事件日志復查可安排為天天一次，也可安排為每周一次，具體取決于安全日志中收集的數據數量。通常，這根據網絡中實現的審核級別而定。審核中包括的事件越多，日志項的數量就越多。假如安排了定期的事件日志復查，則有助于達到以下目標：

• 更快檢測安全問題
假如天天執(zhí)行一次事件日志的復查，安全事件的保留時間永遠不會超過 24 小時。這使檢測和修復安全漏洞的速度變得更快。

• 定義責任
假如要定期復查事件日志，則安排了復查日志文件任務的人員可最終負責識別潛在的攻擊。

• 降低事件被覆蓋或服務器宕機的危險
一旦復查了事件日志，便可對日志文件中的事件進行存檔以便將來復查，并從當前事件日志中刪除。這種做法會降低事件日志填滿的危險。


復查其他應用程序日志文件

除了復查安全事件的 Windows 2000 事件日志之外，還應復查應用程序生成的日志。這些應用程序日志可能包括一些有關潛在攻擊的有價值的信息，可以對事件日志中的信息進行補充。根據環(huán)境的具體情況，可能需要查看一個或多個下面的日志文件：

• Internet 信息服務 (IIS)
IIS 會創(chuàng)建一些日志文件來跟蹤 Web、文件傳輸協議 (FTP)、網絡時間協議 (NTP) 和簡單郵件傳輸協議 (SMTP) 服務的連接嘗試。在 IIS 中運行的每個服務都維護一個單獨的日志文件，這些日志文件會以萬維網聯合會 (W3C) 擴展式日志文件格式保存在 %WinDir%\System32\Logfiles 文件夾中。每個服務都維護一個單獨的文件夾來進一步細分日志信息。另外，可以配置 IIS 使其將日志保存到符合開放式數據庫連接性 (ODBC) 的數據庫中，如 Microsoft SQL Server™。

• Microsoft Internet Security and Acceleration (ISA) 服務器
ISA 服務器提供了數據包篩選器、ISA 服務器防火墻服務和 ISA 服務器 Web 代理服務的日志。與 IIS 一樣，在默認情況下，這些日志以 W3C 擴展式日志文件格式保存，但也可記錄到符合 ODBC 的數據庫中。在默認情況下，ISA 服務器日志文件保存在 C:\Program Files\Microsoft ISA Server\ISALogs 文件夾中。

• Internet 驗證服務 (IAS)
IAS 使用遠程驗證撥號用戶服務 (RADIUS) 協議為遠程訪問驗證提供集中的驗證和記帳。在默認情況下，記帳請求、身份驗證請求和定期的狀態(tài)請求會記錄到位于 %WinDir%\System32\Logfiles 文件夾中的 IASlog.log 文件中。另外，日志文件可按兼容數據庫的文件格式保存，而不是按 IAS 格式保存。

• 第三方應用程序
目前有若干第三方應用程序都會實現本地記錄功能，并提供有關該應用程序的具體信息。有關具體信息，請參考應用程序專屬的幫助文件。

查看更多 動易Cms教程  動易Cms模板