在Windows7上安全审计文件的访问

来源:岁月联盟 编辑:zhuzhu 时间:2009-07-25
在Windows7上安全审计文件的访问内容简介:当将某个文件夹设置为共享后,可以通过操作系统的访问审核功能,让系统记录下访问这个共享文件的相关信息。这个功能在Windows7以前的操作系统版本中就可以实现。此时的安全审核在共享级。共享时一个文件服务器的入口

  当将某个文件夹设置为共享后,可以通过操作系统的访问审核功能,让系统记录下访问这个共享文件的相关信息。这个功能在Windows7以前的操作系统版本中就可以实现。此时的安全审核在共享级。共享时一个文件服务器的入口点,以便允许用户访问文件服务器上的特定目录。注意,共享级别的安全审核,无法做到审计文件访问,即文件级别的安全审核访问。也就是说,现在只是针对一个单独的文件需要设置审计文件访问,在FAT32等比较老的文件系统中无法实现,他们只能够针对整个文件加设置访问审计,而无法针对特定的文件。

在Windows7上安全审计文件的访问

  一、在文件级别还是在共享级别设置安全审计?

  共享级别安全性只能够在文件夹上设置安全审计,所以其灵活性相对差一点。而文件级别的安全审计,可以在特定的服务器上、目录或者文件上设置审计。故系统管理员的灵活性比较高,可以根据时机需要,在合适的地方部署安全审计。如可以对NTFS分区进行审计允许告知系统管理员谁在访问或者试图访问特定的目录。在Windows网络中, 对一些关键网络资源的访问进行审计,是提高网络安全与企业数据安全的比较通用的手法,可以通过安全审计来确定是否有人正试图访问受限制的信息。

  在哪个级别上设置安全审计比较有利呢?这主要看用户的需要。如在一个文件夹中,有数以百计的文件。而其实比较机密的可能就是五、六个文件。此时如果在文件夹级别上实现安全访问审计的话,那么在安全日志中,其审核记录会很多。此时查看起来反而会非常的不方便,有时候反而有用的记录会被那些无用记录所遮挡掉。为此,如果一个文件夹中文件或者子文件夹比较多,而有审计要求的文件又在少数,此时显然在文件级别上(即对特定的几个文件)设置“审计文件访问”比较合适。如此可以减少系统管理员后续维护的工作量。相反,在共享文件中,有一个特定的文件夹专门用来放置一些机密文件,此时就是在文件夹级别上实现安全审计更加的合理。可见在哪个级别上来实现安全审计策略,并没有一个固定的标准。这主要看用户需求来定的。如果一定要说出一个具体的参考标准,那么可以根据如下这个准则来选择,即在哪个级别上所产生的审核记录最少而且可以涵盖用户的安全需求,就在哪个级别上设置安全访问审计。简单的说,就是同时满足两个条件。一是产生的审核记录最少,便于阅读;二是需要满足用户安全方面的需求。往往则两个条件是相互矛盾的,系统管理员需要在他们之间取得一个均衡。

  二、该选用什么样的安全审计策略?

  在审计文件访问策略中,可以根据需要选择多种安全审计策略,即可以告诉操作系统,在发生哪些操作时将访问的信息记入到安全日志中,包括访问人员、访问者的电脑、访问时间、进行了什么操作等等。如果将全部的访问操作都记录在日志中,那么日志的容量会变得很大,反而不易于后许的维护与管理。为此系统管理员在设置审计文件访问策略时,往往需要选择一些特定的事件,以减少安全访问日志的容量。为了达到这个目的,下面的一些建议各位系统管理员可以参考一下。

  一是最少访问操作原则。在Windows7种,将这个访问操作分为很细,如修改权限、更改所有者等等十多种访问操作。虽然系统管理员需要花一定的时间去考虑该选择哪些操作或者进行相关的设置,但是对于系统管理员来说这仍然是一个福音。权限细分意味着管理员选择特定的访问操作之后,就可以得到最少的审核记录。简单的说,“产生的审核记录最少而且可以涵盖用户的安全需求”这个目标更容易实现。因为在实际工作中,往往只需要对特定的操作进行审计即可。如只对用户更改文件内容或者访问文件等少部分操作进行审计即可。而不需要对全部操作进行审计。如此产生的审计记录就会少的多,同时用户的安全需求也得以实现。

  二是失败操作优先选择。对于任何的操作,系统都分为成功与失败两种情况。在大部分情况下,为了收集用户非法访问的信息,只需要让系统记入失败事件即可。如某个用户,其只能够只读访问某个共享文件。此时管理员就可以给这个文件设置一个安全访问策略。当用户尝试更改这个文件时将这个信息记入下来。而对于其他的操作,如正常访问时则不会记录相关的信息。这也可以大幅度的减少安全审计记录。所以笔者建议,一般情况下只要启用失败事件即可。在其不能够满足需求的情况下,才考虑同时启用成功事件记录。此时一些合法用户合法访问文件的信息也会被记录下来,此时需要注意的是,安全日志中的内容可能会成倍的增加。在Windows7操作系统中可以通过刷选的方式来过滤日志的内容,如可以按“失败事件”,让系统只列出那些失败的记录,以减少系统管理员的阅读量。

  三、如何利用蜜糖策略收集非法访问者的信息?

  在实际工作中,系统管理员还可以采用一些“蜜糖策略”来收集非法访问者的信息。什么叫做蜜糖策略呢?其实就是在网络上放点蜜糖,吸引一些想偷蜜的蜜蜂,并将他们的信息记录下来。如可以在网络的共享文件上,设置一些看似比较重要的文件。然后在这些文件上设置审计访问策略。如此,就可以成功地收集那些不怀好意的非法入侵者。不过这守纪起来的信息,往往不能够作为证据使用。而只能够作为一种访问的措施。即系统管理员可以通过这种手段来判断企业网络中是否存在着一些“不安分子”,老是试图访问一些未经授权的文件,或者对某些文件进行越权操作,如恶意更改或者删除文件等等。知己知彼,才能够购百战百胜。收集了这些信息之后,系统管理员才可以采取对应的措施。如加强对这个用户的监控,或者检查一下这个用户的主机是否已经成为了别人的肉鸡等等。总之系统管理员可以利用这种机制来成功识别内部或者外部的非法访问者,以防止他们做出更加严重的破坏。

  四、注意:文件替换并不会影响原有的审计访问策略。

  如上图中,有一个叫做捕获的图片文件,笔者为其设置了文件级别的安全审计访问,没有在其文件夹“新建文件夹”上设置任何的安全审计访问策略。此时,笔者如果将某个相同的文件(文件名相同且没有设置任何的安全审计访问策略)复制到这个文件夹中,把原先的文件覆盖掉。注意此时将这个没有设置任何的安全审计访问策略。文件复制过去之后,因为同名会将原先的文件覆盖掉。但是,此时这个安全审计访问策略的话就转移到新复制过去的那个文件上了。换句话说,现在新的文件有了原来覆盖掉的那个文件的安全审计访问权限。这是一个很奇怪的现象,笔者也是在无意之中发现。不知道这是Windows7 操作系统的一个漏洞呢,还是其故意这么设置的?这有待微软操作系统的开发者来解释了。