当前位置:首页 > 软件开发 > os
firefox

送你微软原装的“系统摄像头”

  菜鸟的入门知识  

  1.审核策略是什么

  审核策略是windows 2000及以后版本组策略中引入的一个安全机制。它可以用日志形式记录系统中已经被审核的事件,而系统管理员通过生成的日志文件,能轻易发现和跟踪发生在所管理区域内的可疑事件。比如:谁曾经访问过哪个文件、哪些非法程序入侵了你的电脑等。  

  2.如何开启“审核对象访问”策略

  所有“审核策略”默认是没有打开的,需要手动开启。依次打开“控制面板→管理工具→本地安全策略”或在“开始→运行”中输入“secpol.msc”,打开组策略中的“本地安全设置”编辑器,依次定位到“本地策略→审核策略”,双击右侧窗格中的“审核对象访问”,勾选“成功”或“失败”即可(见图1)。


  4.使用审核策略的前提

  实行审核策略的前提,首先是安装了windows xp专业版(或windows 2003),要求审核的文件、文件夹和注册表项等必须位于ntfs文件系统分区,其次必须如上所述打开对象访问事件审核策略。符合以上条件,就可以对特定文件或文件夹进行审核,并且对哪些用户或组指定哪些类型的访问进行审核。

  实战应用初探  

  实战任务1:商业间谍做了些什么?

  任务描述:阿桂是一家it公司的网管,最近,老板发现一些商业秘密不胫而走,他想在不让员工们知道的前提下,监控手下人什么时候访问过或使用了公司电脑中指定的磁盘或文件夹中的资料,比如:服务器“d:\data”文件夹。老板觉得小何最可疑,于是决定从监视他入手。

  战前分析:公司员工每人都分配有一个不同账户(记得不能给他们修改策略设置的权限!),只要监视选定账户或组对目标访问时,需要监视目标的访问权和执行权即可。开始前首先在“文件夹选项→查看”标签下取消“使用简单文件共享”。  

  第一步:在“审核策略”中双击右侧的“审核对象访问”,勾选“成功”,确认操作并退出编辑器。右击目标磁盘或文件夹选择“属性”,切换至“安全”选项卡,单击“高级”,切换至“审核”标签。  

  第二步:单击“添加”,输入小何使用的用户名,因为小何属于普通用户组(users),所以输入“计算机名\users”,单击“确定”(见图3)。这时会弹出审核项目选择窗口,因为要监视小何对目标的“访问权和执行ā保虼艘囱 氨槔募?运行文件”(见图4),确定所有操作。



  第三步:这时策略已经完成了。现在可以试试是否有效。打开事件查看器,右击“安全性”选择“清空所有事件”后注销系统。这时,小何登录此系统,访问一下“d:\data”并执行其中一个文件(比如运行了存放在该目录底下的“msn6.2.exe”文件)。注销系统后,阿桂用管理员身份登录,查看一下日志,是不是清楚地记录了刚才小何的访问行为(见图5)?

  



  实战任务3:怎么揪出注册表中的“内鬼”?

  任务描述:一些软件在安装后在不提示用户的情况下就自动添加启动程序,更有甚者还附带木马程序!而这些可恶的行为通常是很难直观察觉的,那么怎么才能识别和揪出它们在注册表中所放置的“内鬼”呢?  

  战前分析:这个任务在本刊2004年第17期的《捉出注册表中的内鬼——注册表监听器》一文中有过介绍,该作者是通过许多注册表监控软件来完成的。其实用软件监视的原理就是对控制系统自启动组的注册表键值进行了监控,然后根据前后监控目标数据的变化来判断的,现在用“审核对象访问”策略完成这项任务。以安装msn messenger后,自动添加一个自启动项为例。

  第一步:按同样方法,建立一个审查修改注册表中[hkey_current_user \software\microsoft\windows\ currentversion\run]键的策略。  

  第二步:打开事件日志查看器清空一下列表,然后安装msn messenger。  

  第三步:再次打开日志查看器,在右侧窗口中就可以找到修改自启动的事件记录(见图7)。
  
  

nesoftwaremicrosoft windowscurrentversionrunservicesonce

  runservices注册键      hkey_current_user\software\microsoft\windows\currentversion\runservices

   和hkey_local_machine\software\microsoft\windows\currentversion\run\services

  runoncesetup注册键     hkey_current_user\software\microsoft\windows\currentversion\runoncesetup
   和hkey_local_machine\software \microsoft\windows\currentversion\runoncesetup

  runonce注册键       hkey_local_machine\software\microsoft\windows\currentversion\runonce和hkey_current_user\software\microsoft\windows\currentversion\runonce

  run注册键         hkey_current_user\software\microsoft\windows\currentversion\run和hkey_local_machine\software\microsoft\windows\currentversion\run
 

 ↓相关文章:
© 2006-2008 All Rights Reserved