Windows Server 2008系統(tǒng)憑借其超強(qiáng)的系統(tǒng)功能、較高的智能化程度以及更甚一籌的安全性能，吸引了很多朋友創(chuàng)建條件前來嘗鮮試用。在與Windows Server 2008系統(tǒng)親密接觸一段時(shí)間后，我們發(fā)現(xiàn)平時(shí)不怎么起眼的“審核功能變得更加強(qiáng)大了，巧妙借助該功能，我們可以對服務(wù)器系統(tǒng)的一切操作進(jìn)行跟蹤監(jiān)視，并能依照監(jiān)視結(jié)果來快速排查服務(wù)器系統(tǒng)故障以及保障服務(wù)器系統(tǒng)的運(yùn)行安全。現(xiàn)在，本文就對Windows Server 2008系統(tǒng)的審核功能進(jìn)行挖掘，以方便各位朋友利用該功能更好地服務(wù)自己。

啟用配置審核功能

Windows Server 2008系統(tǒng)的審核功能在默認(rèn)狀態(tài)下并沒有啟用，我們必須針對特定系統(tǒng)事件來啟用、配置它們的審核功能，這樣一來該功能才會對相同類型的系統(tǒng)事件進(jìn)行監(jiān)視、記錄，網(wǎng)絡(luò)管理員日后只要打開對應(yīng)系統(tǒng)的日志記錄就能查看到審核功能的監(jiān)視結(jié)果了。審核功能的應(yīng)用范圍很廣泛，不但可以對服務(wù)器系統(tǒng)中的一些操作行為進(jìn)行跟蹤、監(jiān)視，而且還能依照服務(wù)器系統(tǒng)的運(yùn)行狀態(tài)對運(yùn)行故障進(jìn)行快速排除。當(dāng)然，需要提醒各位朋友的是，審核功能的啟用往往要消耗服務(wù)器系統(tǒng)的一些寶貴資源，并會造成服務(wù)器系統(tǒng)的運(yùn)行性能下降，這是因?yàn)閃indows Server 2008系統(tǒng)必須騰出一部分空間資源來保存審核功能的監(jiān)視、記錄結(jié)果。為此，在服務(wù)器系統(tǒng)空間資源有限的情況下，我們應(yīng)該謹(jǐn)慎使用審核功能，確保該功能只對一些特別重要的操作進(jìn)行監(jiān)視、記錄。

在啟用、配置Windows Server 2008系統(tǒng)的審核功能時(shí)，我們可以先以系統(tǒng)超級權(quán)限登錄進(jìn)入對應(yīng)系統(tǒng)，打開該系統(tǒng)桌面中的“開始菜單，從中依次點(diǎn)選“設(shè)置、“控制面板命令，在彈出的系統(tǒng)控制面板窗口中依次單擊“系統(tǒng)和維護(hù)、“管理工具圖標(biāo)，在其后出現(xiàn)的管理工具列表窗口中，找到“本地安全策略圖標(biāo)，并用鼠標(biāo)雙擊該圖標(biāo)，打開本地安全策略控制臺窗口。

其次在目標(biāo)控制臺窗口的左側(cè)顯示窗格中，依次展開“安全設(shè)置/“本地策略/“審核策略分支選項(xiàng)，在對應(yīng)“審核策略分支選項(xiàng)的右側(cè)顯示窗格中，我們會發(fā)現(xiàn)Windows Server 2008系統(tǒng)包含九項(xiàng)審核策略，也就是說服務(wù)器系統(tǒng)可以允許對九大類操作進(jìn)行跟蹤、記錄。

審核進(jìn)程跟蹤策略，是專門用來對服務(wù)器系統(tǒng)的后臺程序運(yùn)行狀態(tài)進(jìn)行跟蹤記錄的，例如服務(wù)器系統(tǒng)后臺突然運(yùn)行或關(guān)閉了什么程序，handle句柄是否進(jìn)行了文件復(fù)制或系統(tǒng)資源的訪問等操作，審核功能都可以對它們進(jìn)行跟蹤、記錄，并將監(jiān)視、記錄的內(nèi)容自動保存到對應(yīng)系統(tǒng)的日志文件中。

審核帳戶管理策略，是專門用來跟蹤、監(jiān)視服務(wù)器系統(tǒng)登錄賬號的修改、刪除、添加操作的，任何添加用戶賬號操作、刪除用戶賬號操作、修改用戶賬號操作，都會被審核功能自動記錄下來。

審核特權(quán)使用策略，是專門用來跟蹤、監(jiān)視用戶在服務(wù)器系統(tǒng)運(yùn)行過程中執(zhí)行除注銷操作、登錄操作以外的其他特權(quán)操作的，任何對服務(wù)器系統(tǒng)運(yùn)行安全有影響的一些特權(quán)操作都會被審核功能記錄保存到系統(tǒng)的安全日志中，網(wǎng)絡(luò)管理員根據(jù)日志內(nèi)容就容易找到影響服務(wù)器運(yùn)行安全的一些蛛絲馬跡。

啟用不同的審核策略，Windows Server 2008系統(tǒng)就會對不同類型的操作進(jìn)行跟蹤、記錄，網(wǎng)絡(luò)管理員應(yīng)該依照自己的安全要求以及服務(wù)器系統(tǒng)的性能配置，來啟用適合自己的審核策略，而不要盲目地啟用所有審核策略，那樣一來審核功能的作用反而得不到充分發(fā)揮。

比方說，要是我們想對服務(wù)器系統(tǒng)的登錄狀態(tài)進(jìn)行跟蹤、監(jiān)視，以便確認(rèn)局域網(wǎng)中是否存在非法登錄行為時(shí)，那我們就可以直接用鼠標(biāo)雙擊這里的審核登錄事件策略，打開對應(yīng)策略的選項(xiàng)設(shè)置對話框（如圖2所示），選中其中的“成功和“失敗選項(xiàng)，再單擊“確定按鈕，如此一來Windows Server 2008系統(tǒng)日后就會自動對本地服務(wù)器系統(tǒng)的所有系統(tǒng)登錄操作進(jìn)行跟蹤、記錄，無論是登錄服務(wù)器成功的操作還是登錄服務(wù)器失敗的操作，我們都能通過事件查看器找到對應(yīng)的操作記錄，仔細(xì)分析這些登錄操作的記錄我們就能發(fā)現(xiàn)本地服務(wù)器中是否真的存在非法登錄甚至非法入侵行為。;

; 查看審核功能記錄

啟用、配置好合適的審核策略后，Windows Server 2008系統(tǒng)就會自動對特定類型的操作進(jìn)行跟蹤、記錄，并將記錄內(nèi)容保存到對應(yīng)系統(tǒng)的日志文件中了，以后網(wǎng)絡(luò)管理員可以根據(jù)日志內(nèi)容，尋找服務(wù)器系統(tǒng)中是否存在安全威脅。在查看審核功能記錄下來的日志內(nèi)容時(shí)，我們必須借助事件查看器功能來完成，下面就是查看審核功能記錄的具體操作步驟：

首先以超級管理員權(quán)限進(jìn)入Windows Server 2008系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始/“程序/“管理工具/“服務(wù)器管理器命令，打開對應(yīng)系統(tǒng)的服務(wù)器管理器控制臺窗口；

其次在該控制臺窗口的左側(cè)顯示區(qū)域中，將鼠標(biāo)定位于“診斷分支選項(xiàng)，并從該分支選項(xiàng)下面依次點(diǎn)選“事件查看器/“Windows日志子項(xiàng)，在目標(biāo)子項(xiàng)下面我們會看到“應(yīng)用程序、“安全、“安裝程序、“系統(tǒng)、“轉(zhuǎn)發(fā)事件這五個(gè)類別的事件記錄，用鼠標(biāo)選中某個(gè)類別選項(xiàng)時(shí)，我們就能從圖3界面的中間顯示區(qū)域中清楚地看到對應(yīng)類別下的所有事件記錄，再用鼠標(biāo)雙擊指定的記錄選項(xiàng)時(shí)，就能打開目標(biāo)事件記錄的詳細(xì)信息界面，在該界面中我們就可以詳細(xì)查看到目標(biāo)事件的來源、具體的事件內(nèi)容、事件ID以及其他相關(guān)信息等。

發(fā)現(xiàn)重要的事件內(nèi)容時(shí)，我們還可以對其執(zhí)行一些操作；比方說，為了日后有空時(shí)能對重要事件內(nèi)容進(jìn)行仔細(xì)分析，我們可以將重要事件內(nèi)容先保存起來，以防止清理日志時(shí)被意外刪除掉，在保存重要事件內(nèi)容時(shí)，我們只要用鼠標(biāo)右鍵單擊目標(biāo)事件內(nèi)容，從彈出的快捷菜單中執(zhí)行“將事件另存為命令，之后設(shè)置好保存路徑以及具體的文件名稱，再單擊“保存按鈕就可以了，日后只需要再執(zhí)行右鍵菜單中的“打開保存的日志命令，就能將以前保存好的日志文件調(diào)用出來了。要是發(fā)現(xiàn)服務(wù)器系統(tǒng)中保存的事件內(nèi)容太多時(shí)，我們應(yīng)該定期執(zhí)行右鍵菜單中的“清除日志命令來清空日志記錄，以便騰出更多的寶貴空間資源。在日志記錄較多的情況下，要想快速尋找自己想要的事件記錄是一件不容易的事情，此時(shí)我們不妨執(zhí)行“篩選當(dāng)前日志命令來對日志記錄進(jìn)行篩選。

實(shí)戰(zhàn)應(yīng)用審核功能

審核功能在現(xiàn)實(shí)環(huán)境中對Windows Server 2008系統(tǒng)尤為重要，因?yàn)榉?wù)器系統(tǒng)在局域網(wǎng)環(huán)境中很容易受到攻擊，網(wǎng)絡(luò)管理員可以利用審核功能來對各種攻擊行為進(jìn)行跟蹤監(jiān)控，遇到有潛在安全威脅的事件發(fā)生時(shí)，我們可以想方設(shè)法地將審核功能監(jiān)控到的事件內(nèi)容通知給網(wǎng)絡(luò)管理員，網(wǎng)絡(luò)管理員就能立即查明事件原因，并對癥下藥地解決問題，從而保障服務(wù)器系統(tǒng)不受非法攻擊了。

例如，一些木馬程序常常會在服務(wù)器系統(tǒng)中偷偷創(chuàng)建用戶賬號，以便竊取服務(wù)器系統(tǒng)的超級管理員權(quán)限，此時(shí)我們可以通過用戶賬號監(jiān)控來確定服務(wù)器系統(tǒng)中究竟是否存在非法用戶賬號，然后進(jìn)一步確定究竟是哪一個(gè)用戶賬號是非法賬號。需要說明的是，要想讓W(xué)indows Server 2008系統(tǒng)自動將非法賬號創(chuàng)建的事件通知給網(wǎng)絡(luò)管理員時(shí)，必須確保對應(yīng)系統(tǒng)的Task Scheduler服務(wù)處于正常的運(yùn)行狀態(tài)。

首先依次單擊Windows Server 2008系統(tǒng)桌面中的“開始/“運(yùn)行命令，在彈出的系統(tǒng)運(yùn)行對話框中，執(zhí)行字符串命令“secpol.msc，打開服務(wù)器系統(tǒng)的本地安全策略控制臺窗口；

其次在該控制臺窗口的左側(cè)顯示區(qū)域，依次展開“安全設(shè)置、“本地策略、“審核策略分支選項(xiàng)，在對應(yīng)“審核策略分支選項(xiàng)的右側(cè)顯示區(qū)域中，雙擊“審核賬戶管理策略選項(xiàng)，打開如圖4所示的策略選項(xiàng)設(shè)置對話框，選中“成功和“失敗選項(xiàng)，再單擊“確定按鈕關(guān)閉策略選項(xiàng)設(shè)置對話框，這樣一來無論用戶賬戶創(chuàng)建成功還是創(chuàng)建失敗，Windows Server 2008系統(tǒng)都會自動記錄下用戶賬號創(chuàng)建事件；

為了把用戶賬號創(chuàng)建事件內(nèi)容自動通知給網(wǎng)絡(luò)管理員，我們還需要針對該事件附加執(zhí)行自動報(bào)警的任務(wù)計(jì)劃。在附加自動報(bào)警任務(wù)時(shí)，我們先依次單擊Windows Server 2008系統(tǒng)桌面中的“開始/“程序/“管理工具/“服務(wù)器管理器命令，打開對應(yīng)系統(tǒng)的服務(wù)器管理器控制臺窗口；在該控制臺窗口的左側(cè)區(qū)域依次點(diǎn)選“診斷/“事件查看器/“Windows日志/“系統(tǒng)子項(xiàng)，再從“系統(tǒng)子項(xiàng)下面找到創(chuàng)建用戶賬號事件，如果找不到該事件內(nèi)容時(shí)，我們還需要采用手工方法隨意在服務(wù)器系統(tǒng)中創(chuàng)建一個(gè)用戶賬號，這樣一來用戶賬號創(chuàng)建事件就會出現(xiàn)在事件查看器中了。

用鼠標(biāo)右鍵單擊用戶賬號創(chuàng)建事件，從彈出的快捷菜單中執(zhí)行“將任務(wù)附加到此事件命令，打開任務(wù)計(jì)劃添加向?qū)υ捒颍笤O(shè)置好新任務(wù)的名稱，例如這里我們將新任務(wù)取名為“自動報(bào)警用戶賬號創(chuàng)建情況，當(dāng)屏幕上出現(xiàn)如圖5所示的設(shè)置對話框時(shí)，選中“顯示消息選項(xiàng)，再設(shè)置好需要報(bào)警的標(biāo)題與內(nèi)容，在這里我們將標(biāo)題設(shè)置為“自動報(bào)警用戶賬號創(chuàng)建情況，將報(bào)警內(nèi)容設(shè)置為“服務(wù)器系統(tǒng)中可能有非法賬號被創(chuàng)建，請網(wǎng)絡(luò)管理員立即處理相關(guān)事件！最后單擊“完成按鈕，這樣一來Windows Server 2008系統(tǒng)日后就能把審核功能記錄下來的用戶賬號創(chuàng)建情況自動報(bào)告給網(wǎng)絡(luò)管理員了。

當(dāng)我們嘗試通過遠(yuǎn)程桌面方式在服務(wù)器系統(tǒng)中隨意創(chuàng)建一個(gè)用戶賬號時(shí)，Windows Server 2008系統(tǒng)屏幕上立即出現(xiàn)了一個(gè)自動報(bào)警提示窗口，告訴網(wǎng)絡(luò)管理員說“服務(wù)器系統(tǒng)中可能有非法賬號被創(chuàng)建，請網(wǎng)絡(luò)管理員立即處理相關(guān)事件！，這就意味著此時(shí)有人在服務(wù)器系統(tǒng)中偷偷創(chuàng)建用戶賬號了，網(wǎng)絡(luò)管理員根據(jù)這個(gè)自動報(bào)警提示信息，就能在第一時(shí)間采取措施來解決相關(guān)問題，從而保障Windows Server 2008服務(wù)器系統(tǒng)不受非法攻擊了。