计算机网络安全审计实例

1.NT的三个日志文件物理位置

Windows NT三个日志文件的物理位置如下：

系统日志：%systemroot%\system32\config\sysevent.evt

安全日志：%systemroot%\system32\config\secevent.evt

应用程序日志：%systemroot%\system32\config\appevent.evt

2.NT审计子系统结构

NT中每一项事务都能在一定程度上被审计，NT可在Explorer与User manager中打开审计。在Explorer中，选择Security，再选Auditing以激活Directory Auditing对话框，系统管理员可在此选择跟踪有效和无效的文件访问。在User manager中，系统管理员可根据各种用户事件的成功和失败选择审计策略，如登录、退出、文件访问、权限非法与关闭系统等。

NT使用一种特殊的格式存放日志文件，该文件可被事件查看器读取。事件查看器可在Administrative tool程序组中找到，系统管理员可使用事件查看器的Filter选项，根据一定条件选择要查看的日志条目，查看条件包括类别、用户和消息类型。

NT的日志文件很多，但主要是系统日志、安全日志和应用日志，NT中所有可被审计事件都存入其中的一个日志。这三个日志审计NT系统的核心。默认安装时安全日志不打开。

Application Log：包括用NT Security authority注册的应用程序产生的信息。

Security Log：包括有关通过NT可识别安全提供者和客户的系统访问信息。

System Log：包含所有系统相关事件的信息。

NT中的审计缺乏足够的深度与广度。用于浏览审计日志的工具事件浏览器灵活性有限，并对大型日志浏览速度较慢。日志不能以域作为中心存储，每个服务器和工作站都有自己的日志集，分散在NT网的千万个服务器中，若无自动操作和数据转储工具，管理和利用这些日志较困难。

3.NT审计日志的记录格式

NT的审计日志由一系列事件记录组成。每一事件记录分为3个部分：头、事件描述和可选的附加数据项。表10-1显示一个事件记录的结构。

表10-1 Windows NT事件记录格式(www.xing528.com)

事件记录头由下列域组成。

日期：事件的日期标识；

时间：事件的时间标识；

用户名：标识事件由谁触发。该标识可以是初始用户ID、某客户ID或两者同时具有。具体是哪一个用户ID，由NT的扮演功能是否触发决定。当操作系统允许一个进程继承另一个进程的安全属性时，扮演被触发，扮演发生时，安全日志机制将同时反映用户ID和扮演ID。

计算机名：事件所在的计算机名。当用户在整个企业范围内集中安全管理时，该信息大大简化了审计信息的回顾。

事件ID：事件类型的数字标识。在事件记录描述中，通常被映射成一个文本标识。

源：用来响应产生事件记录的软件。源可以是一个应用程序、一个系统服务或一个设备驱动程序。

类型：事件严重性指示器。在系统和应用日志中，类型可以是错误、警告或信息，按重要性降序排列。在安全日志中，类型可能是成功审计或失败审计。

种类：触发事件类型，主要用在安全日志中指示该类事件成功或失败审计已被许可。

4.NT事件日志管理特征

NT提供大量特征给系统管理员，以便管理操作系统事件日志。如可限制日志大小并规定当文件达到容量上限时如何处理。如用新记录冲掉最老记录，停止系统直到事件日志被手工清除。当系统开始运行时，系统和应用事件日志自动开始。安全事件日志必须由具有管理者权限的人启动。利用用户管理器，可设置安全审计规则。要启用安全审计功能，只需在规则菜单下选择审计，然后通过查看记录的安全事件日志中的安全性事件，即可跟踪用户的操作。

5.NT安全日志审计策略

安全日志由审计策略支配。审计策略可通过配置审计策略对话框中的选项来建立。审计策略规定日志的事件类型并可根据动作、用户和目标进一步具体化。安全事件记录包括动作的时间与日期、已执行的动作与执行响应的动作，成功与失败的动作都能在安全日志中产生条目，日志条目也记录企图执行被策略禁止的动作活动。

NT的审计规则如下（审计成功及审计失败的操作）。登录及注销：登录及注销或连接到网络。用户及组管理：创建、更改或删除用户账号或组，重命名、禁止或启用用户账号，设置和更改密码。文件及对象访问：访问设置用于文件或目录审计的目录或文件的用户，以及向设置用于打印机审计的打印机发送打印作业的用户。安全性规则更改：对用户权利、审计或委托关系规则的改动。重新启动、关机及系统级事件：用户重新启动或关闭计算机，或者发生了一个影响系统安全性或安全日志的事件。进程追踪：这些事件提供了关于事件的详细跟踪信息，如程序活动、某些形式句柄的复制、间接对象的访问和退出进程。对于“文件及对象访问”中的文件和目录的审计还需要在资源管理器中对要审计的目录或文件进行具体设置。文件和目录审计：允许跟踪目录和文件的用法。对于一个具体的文件或目录，可指定要审计的组、用户或操作。审计目录或文件可选择读、写、执行、删除、更改权限或者获得所有权等事件。