【ChinaBeta.Cn 操作系统中心】
Windows Eventing 6.0
现在我们已经了解了问题所在,那么 Windows Server 2008 是如何帮助组织应对这些挑战的呢?Windows Server 2008 是第一个包含新的 Windows Eventing 6.0 事件子 系统的 服务器版本,它极大地改善了安全事件管理的前景。请注意,虽然我们此处重点讨论的是 Windows Server 2008,但 95% 的新功能集也存在于 Windows Vista 中。 对于 Windows Eventing 6.0,很多人的第一个关注点都会是全新的用户界面。新的“事件查看器 Microsoft 管理控制台”(MMC) 管理单元提供了出色的概述和摘要页面、灵活的自定义视图以及功能大大增强的说明文字。这些界面可帮助最终用户或 系统管理员查找事件信息,并可直接从“事件查看器”配置重要的事件日志选项。 常常会影响到事件日志中的安全数据的一个关键问题是数据的保留。以前,“事件日志”子 系统(包括所有日志)会面临可伸缩性限制。如果超过了这些限制,整个子 系统将停止记录事件。但在 Windows Eventing 6.0 中则不然,组织现在只受可用磁盘空间数量的限制。不过要注意,过大的事件日志分析起来可能会非常麻烦,因为每个单独的日志条目在过滤时都必须进行评估,因此您可以干脆将日志保持在可管理的大小。 当然,这仍允许 IT 管理员为许多 系统的事件日志制定存档计划。为了在本地 服务器级别对此提供帮助,在 Windows Eventing 6.0 中新增了一个功能,即选项“日志满时存档日志而不覆盖事件”。在先前版本的 Windows 中,此选项只能通过修改 AutoBackupLogFiles 注册表值直接进行设置。尽管这提供了一种在本地存档日志的机制,但是它并未提供随时间推移来管理这些文件的解决方案,也未解决跨多 系统时出现的聚合问题。“审核收集服务”没有为此提供完整的解决方案,我们过一会儿将谈到这一点。 新的界面只是一个开始。Windows Eventing 6.0 真正强大的功能在于新的 Windows Event Log 服务和底层的基于 XML 的引擎。这些组件提供了增强的可伸缩性、可访问性和各种管理选项。事件现在以灵活的 XML 格式进行存储,允许用户自定义解决方案,无缝地植入此信息。
Windows Eventing 6.0 还提供将管理操作与特定事件相关联的能力。这是通过将 Windows Event Collector 服务与 Task Scheduler 相集成,从而提供基于任务的事件记录功能来实现的。这是 Task Scheduler 的一个新范例,以前它只能基于时间来触发事件。“Attach Task to this Event”(将任务附加到此事件)向导(位于 Windows Server 2008 Event Viewer 中,可在任意事件的上下文菜单中找到)为启动程序、发送电子邮件或显示在任意时刻记录的特定事件的消息提供了一种简便的方法。当尝试确定在环境中发生的独立于特定安全事件的特定操作时,此功能可能会非常有用。例如,如果要审核在域控制器上对“Schema Update Allowed”注册表项所做的变更,您可以创建一个任务,当此注册表项被修改时向指定的安全管理员发送一封电子邮件来通知他们。
除了收集和存储大量事件条目这一新功能外,您现在还可以更加灵活地控制要在事件日志中记录的事件。这是通过一个名为 Granular Audit Policy (GAP) 的新功能完成的。在以前版本的 Windows 中,九个主要审核类别常常会导致事件超载。这些顶级类别现在可通过 50 个精细子类别加以控制,每个都代表事件的一个相关子集。
这样就可以从事件日志中过滤出非关键信息,而不会在类别级损失可视性。例如,如果在特定 系统上只想监视对注册表而不是对文件 系统的变更,以前只能选择只报告“对象访问”类别中成功或失败的项目。利用 GAP,您现在可以过滤出各种子类别(如“文件 系统”、“认证服务”以及“文件共享”),并且可以只报告在“注册表”子类别上发生的事件。要了解 Windows Server 2008 系统中 GAP 子类别的内容,必须从提升的命令提示符下运行 Auditpol 命令。要列出可用的 GAP 子类别,请键入以下内容:
auditpol /list /subcategory:*
要获得您的 系统中已配置的 GAP 子类别的列表,请键入:
auditpol /get /category:*
请注意,GAP 不能通过标准的“组策略”用户界面进行配置,必须通过 auditpol.exe 进行管理。在 support.microsoft.com/kb/921469 上的知识库文章中,介绍了在 Windows Server 2008 和 Windows Vista 系统中如何通过“组策略”来部署设置的指导原则。 Windows Server 2008 还可以在安全事件日志中捕捉特定类型的新值和旧值。在以前版本的 Windows 中,审核子 系统只记录变更过的 Active Directory ® 对象属性名称或注册表值,而不记录属性的以前和当前值。此新功能适用于 Active Directory Domain Services、Active Directory Lightweight Directory Services 和 Windows 注册表。通过在“注册表”或“目录服务变更”子类别上启用“审核成功”或“审核失败”并设置关联的 SACL,详细事件将出现在这些对象的操作事件日志中。这可以使用以下 auditpol 命令来执行:
auditpol /set /subcategory:"Registry" /success:enable
auditpol /set /subcategory:"Directory Service
Changes" /success:enable
对于注册表变更,这些将显示为 Event ID 4657 事件,如图 4 所示。
图 4 注册表变更前后 (单击该图像获得较大视图) 此功能在尝试跟踪 Active Directory 对象的变更时尤为有用。对于“目录服务变更”,这些变更出现在一对 Event ID 5136 事件中,如图 5 所示。每个事件在事件正文中都有目录服务“对象”、“属性”和“操作”。对于针对包含现有数据的属性的变更,可看到两个操作:“值已删除”和“值已添加”。对于未填充的属性,在将数据写入到该属性时只能看到“值已添加”操作。例如,当针对某个用户对象(如 telephoneNumber)的属性成功执行了修改操作后,Active Directory 会在详细的事件日志条目中记录属性的以前和当前值。
图 5 “目录服务变更”事件前后 (单击该图像获得较大视图)
上一页 [1] [2] [3] 下一页
(责任编辑:hahack)
|
复制代码
[
[