• 從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)
請?jiān)谑录�具體信息中查找用戶權(quán)限為 SeRemoteShutdownPrivilege 的事件。

• 提高日程安排優(yōu)先級
請?jiān)谑录�具體信息中查找用戶權(quán)限為 SeIncreaseBasePriorityPrivilege 的事件。具有此權(quán)限的用戶可以修改進(jìn)程優(yōu)先級。

• 加載和卸載設(shè)備驅(qū)動程序
請?jiān)谑录�具體信息中查找用戶權(quán)限為 SeLoadDriverPrivilege 的事件。具有此用戶權(quán)限的用戶可以加載特洛伊木馬版本的設(shè)備驅(qū)動程序。

• 治理審核和安全日志
請?jiān)谑录�具體信息中查找用戶權(quán)限為 SeSecurityPrivilege 的事件。具有此用戶權(quán)限的用戶可以查看和清除安全日志。

• 替換進(jìn)程級令牌
請?jiān)谑录�具體信息中查找用戶權(quán)限為 SeAssignPrimaryTokenPrivilege 的事件。具有此用戶權(quán)限的用戶可以更改與一個(gè)已啟動子進(jìn)程相關(guān)聯(lián)的默認(rèn)令牌。

• 還原文件和目錄
請?jiān)谑录�具體信息中查找用戶權(quán)限為 SeRestorePrivilege 的事件。

• 關(guān)閉系統(tǒng)
請?jiān)谑录�具體信息中查找用戶權(quán)限為 SeShutdownPrivilege 的事件。具有此用戶權(quán)限的用戶可以關(guān)閉系統(tǒng)以開始新設(shè)備驅(qū)動程序的安裝。

• 獲取文件或其他對象的所有權(quán)
請?jiān)谑录�具體信息中查找用戶權(quán)限為 SeTakeOwnershipPrivilege 的事件。具有此用戶權(quán)限的用戶可以通過獲取 NTFS 文件系統(tǒng)磁盤上的對象或文件的所有權(quán)，來訪問這些對象或文件。


注重：這些審核事件只是表示該用戶權(quán)限分配到了某個(gè)特定的安全主要對象。它并不表示該安全主要對象使用該用戶權(quán)限執(zhí)行了任務(wù)。審核事件卻可以確定何時(shí)修改了用戶權(quán)限策略。

Contoso 要監(jiān)視所有策略更改事件。這些事件可用于進(jìn)行任何故障排除或事件響應(yīng)。

監(jiān)視組策略的更改可能非常困難，并會提供大量的非實(shí)質(zhì)性警告。這主要是因?yàn)�，用于編輯組策略的 MMC 治理單元 gpedit.msc 總是既帶有讀取權(quán)限又帶有寫入權(quán)限打開策略。即使沒有對策略進(jìn)行更改，也會向域控制器的安全日志寫入策略事件 578，如下所示。

組策略治理控制臺（在 Windows Server 2003 發(fā)布后不久以免費(fèi)下載軟件形式發(fā)布）答應(yīng)授權(quán)用戶無需在 gpedit.msc 中打開組策略設(shè)置即查看這些設(shè)置，從而幫助客服這些問題。有關(guān)組策略治理控制臺的具體信息，請參考：http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx（英文）。

保護(hù)事件日志
要確保維護(hù)事件日志項(xiàng)以便將來參考，應(yīng)采取一些步驟來保護(hù)事件日志的安全。這些步驟包括：

• 為所有事件日志的存儲、覆蓋和維護(hù)定義一個(gè)策略。該策略應(yīng)定義所有必需的事件日志設(shè)置，并由組策略強(qiáng)制執(zhí)行。

• 確保該策略包括如何處理已滿的事件日志，尤其是安全日志。建議安全日志填滿時(shí)必需關(guān)閉服務(wù)器。這對于某些環(huán)境可能不可行，但確實(shí)應(yīng)考慮。

• 通過啟用安全策略設(shè)置來防止本地來賓訪問系統(tǒng)日志、應(yīng)用程序日志和安全日志，防止對事件日志進(jìn)行來賓訪問。

• 確保既審核成功系統(tǒng)事件又審核失敗系統(tǒng)事件，以確定是否存在任何想擦除安全日志內(nèi)容的嘗試。

• 強(qiáng)制有能力查看或修改審核設(shè)置的所有安全主要對象使用復(fù)雜的密碼或雙因素身份驗(yàn)證（如智能卡登錄），防止針對這些帳戶進(jìn)行攻擊來獲取對于審核信息的訪問。


Contoso 在“成員服務(wù)器和域控制器組策略對象”中實(shí)現(xiàn)了這些設(shè)置。

除了上述步驟之外，您還應(yīng)采取一些可行的措施，以確保事件日志信息盡可能最安全：

• 確保安全計(jì)劃包括所有服務(wù)器的物理安全性，防止攻擊者獲取對于在其中執(zhí)行審核的計(jì)算機(jī)的物理訪問。攻擊者可能會通過修改或刪除本地磁盤子系統(tǒng)上的物理 *.evt 文件，來刪除審核項(xiàng)。

• 請實(shí)現(xiàn)一種方法，以刪除與該物理服務(wù)器不同位置中的事件日志，或?qū)⑦@些事件日志存儲在與該物理服務(wù)器不同的位置中。這可能包括使用“任務(wù)計(jì)劃”將事件日志寫入 CD-R 或者一次寫入定期讀取的很多媒體中，或?qū)懭肱c該服務(wù)器不同的其他網(wǎng)絡(luò)位置中。假如這些備份被復(fù)制到外部媒體（如備份磁帶或者 CD-R 媒體），則在發(fā)生火災(zāi)或其他自然災(zāi)難時(shí)，該媒體應(yīng)能從所處位置取出。

查看更多 動易Cms教程  動易Cms模板