网络操作系统中的安全体系.doc

网络操作系统中的安全体系 24 2020年5月29日 文档仅供参考 15.1 网络操作系统中的安全体系 为了实现网络安全特性的要求,计算机网络中常见的安全技术有:主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术和安全管理技术。 在实现网络安全系统时,一般需要先对保护的网络进行深入的分析,然后,选择和使用适合该网络的一种或几种安全技术。 每一种网络操作系统,一般是按一定的安全目标进行设计,因此,都采用了一些安全策略,并使用了一些常见的安全技术。下面以Windows NT为例进行简单地讨论,由于,这些讨论具有普遍性,因此,也适用于其它的网络操作系统。 15.1.1 Windows NT 4.0的安全概述 1. Windows NT中的对象 对象是NT操作系统中的基本元素。对象能够是文件、目录、存储器、驱动器、系统程序或Windows中的桌面等。 2. Windows NT 4.0的安全性设计目标 在设计Windows NT结构的时候,微软把目标定位于一个具有各种内在安全功能的强大而坚实的网络操作系统。 3. 使用Windows NT的实现网络安全策略 Windows NT 4.0的安全结构由3个基本安全子系统的模块组成,即身份认证、信任确定和审计跟踪。对于每一个机构,任何操作系统的安全机制都不是自动生成的,因此,在使用Windows NT之前必须先制定它们的安全策略。这些策略需要进行详细地说明,在明确了该机构对访问控制信息的保护及审核方面的具体要求之后,还需要对所制定的安全策略进行正确地配置,并实现了对象的访问控制之后,才能说用NT构建一个高度安全地系统。由此可见,只有将企业的安全策略和Windows NT底层的安全机制有机地结合起来,才能充分发挥Windows NT的各项安全特性。 4. Windows NT的安全机制 微软的Windows NT Server提供了安全管理的功能,以及在企业级网络中实现和管理这些功能的工具。 ① Windows NT的安全子系统有:本地安全权威、安全账户管理、安全访问监督等。 ② Windows NT提供的安全机制有:登录过程控制、存取控制、存取标识和存取控制列表等。 5. Windows NT的安全模型 Windows NT的安全模型影响着整个操作系统,由于,对象的访问必须经过一个核心区域的验证,因此,在NT中未经授权的申请者和用户是不能访问对象的。Windows NT的安全模型由本地安全权限、安全账户管理器和安全参考监视器等几个主要部分组成,而且包括登录入网处理、访问控制和对象安全服务等部分。上述这些部分构成了NT的安全基础,也称为安全层次。 15.1.2 Windows NT网络安全子系统的实现 Windows NT的安全系统应当由3个策略环节构成:即身份识别系统、资源访问权限控制系统和安全审计系统。 （1） 满足C2安全等级的NT必须做到的几项工作 ① 拥有对系统的非网络访问权限。 ② 去除或禁止使用软盘驱动器。 ③ 更加严格地控制对标准系统文件的访问。 （2） Windows NT中C2安全等级的标准特征 ① 可自由决定的访问控制。允许管理员或用户定义自己所拥有的对象的访问控制。 ② 禁止对象的重用。主要表现在两个方面。第一,当内存被一个程序释放后,不再允许对它的读访问。第二,当对象被删除,即对象所在的磁盘空间已被重新分配时,也不允许用户对对象进行再次的访问。 ③ 身份的确认和验证。在系统进行任何访问之前,用户必须先确认自己的身份,包括输入用户名、口令、域和组等信息的验证。 ④ 审核。应当创立并维护用户对对象的访问记录,并防止她人更改此记录。必须严格地规定,只有管理员才能够访问系统的审核信息。 15.1.2.1 Windows NT网络的登录和身份认证机制 Windows NT处理各种服务请求,是建立在授权许可的基础上,因此,必须先经过用户的登录和访问权限的验证,此后还需要对用户的访问权限进行限制。其验证过程分为以下几个部分。 1. Windows NT网络的登录机制和账户管理 Windows NT网络登录时,要求用户使用唯一的用户名和口令登录到计算机上,这种登录过程是不能关闭的,因此,称为强制性的登录。 （1） 登录机制 ① 登录过程 任何一台NT计算机都使用”Ctrl+Alt+Del”三个健的组合进行强制登录,登录过程包括输入的用户名和密码的登录验证过程。 ② 登录的类型 登录的类型分为交互登录和远程登录两种。 l 交互登录:使用本地的安全账户管理(SAM,Security Reference Monitor)进行身份认证。当用户选择了本地SAM,则登录时,不会发生域内的身份验证,所有的身份认证均在本地,并能够针对本地资源进行访问。 l 远程登录:当用户在一个域中的计算机上登录到一个服务器时,就会发生远程登录,也叫做”域SAM”,此时,用户的身份认证会传递到”域”的控制器上去完成。 （2） 身份识别系统 Windows NT中的身份识别系统是网络安全系统的第一层保护,它除了进行账户和口令的检测以外,还能够由管理员限制用户的上网时间、非法使用者锁定和密码更改等。 用户账户的设置是由系统管理员来确定的,它不可是用户惟一的身份识别标志,还被分配了到域中访问资源的权限。当然,用户能够选择本地的SAM或域SAM方式进行交互式登录或者是远程登录。不同的登录方式,对资源的使用权限也不同。每一个需要使用网络的用户都应该拥有一个账户。 ① 账户管理的最高权限账户—Administrator账户 每一台NT计算机在安装过程中都会建立一个系统默认的Administrator账户。该账户不能删除,但能够被更改名称。在域控制器上,此账户是一个全局账户,在其它计算机上,它只是一个本地账户。系统管理员能够使用Administrator账户进行登录,并定义用户对资源的使用权限,用户账户的管理,还能够从网上任何站点进行远程登录,并行使各种管理权。使用域的Administrator账户登录时的系统管理员能够完成以下任务。 l 能够对文件和目录的安全访问权限进行设置和控制。 l 能够对注册表进行操作。例如:修改注册表。 l 能够对用户的账号进行集中管理。设置用户登录网络的账户和口令,指定登录时间,确定账户的期限及口令的使用限定等。 l 能够审计各种事件。例如:用户的登录尝试设置,就是指当用户登录失败的次数超过指定的次数,系统能够将用户账号锁定。 由于,域的Administrator账户具有很高的权限,因此,为了保证网络的安全,对该账户及其它具有同等特权的账户的账号必须采取严格地安全措施。 ② 账户管理。账户管理的内容包括:用户口令控制、本地和全局账户、用户宿主目录的指定、网络登录脚本、用户强制性配置文件,以及将用户分配到默认的组等多项账户属性的操作。 （3） 账户的安全策略 建立用户账户的方法在第8章中已作介绍,本节仅介绍账户安全的设置策略和步骤。 Windows NT的缺省和默认账户策略是为了便于用户方便而设计的。例如:允许用户使用空口令和选择任意长度的口令。而这些设置能够使得非法入侵者能够轻易地入侵网络。因此,出于安全性考虑,应当修改上述的设计策略。表15-2说明了建议网络管理员在各种情况下能够采取的账户策略。 表15-2 推荐的Windows NT中的账户策略 功能 推荐设置 优点 最小口令长度 6～8个字符 使得所设置的口令不易被猜出 口令期限 30～90天 强迫用户定期更换口令,使系统更安全 口令唯一性 5个口令 防止用户总是使用同一口令 账户锁定 5次登录企图后锁定,30分钟后恢复 防止黑客猜出口令的企图 最短口令的使用期限(寿命) 3天(允许用户立即修改口令) 防止用户立即将口令改为原有的值 锁定时间 30分钟 强迫用户等待,防止黑客猜出口令的企图 当登录时间到期时,中断远程客户与服务器的连接 应使用登录时间的限制 支持移动工作及无超时的策略 用户必须登录才能修改口令 禁止 防止用户更新已经过期的口令 注意:NT操作系统能够自动锁定账户,管理员不能采用手动锁定账户,可是,能够进行禁止账户或解锁的操作。 （4） 账户安全策略的实施步骤 ① 依次选择”开始→程序→管理工具→域用户管理工具”命令选项,激活如图15-7所示的窗口。 图15-7 ”域用户管理器”窗口 ② 在图15-7所示的”域用户管理器”窗口中,选择”规则(策略)→账户”命令选项,即可激活如图15-8所示的窗口。注:有些NT版本中的”规则”命令显示为”策略”。 图15-8 ”域用户管理器”中的”账号规则”窗口 ③ 在图15-8所示的窗口中,能够设置:密码限制、账号锁定和锁定时间等,用户应当根据安全策略的需要酌情进行选择。例如:能够经过”登录失败”选项进行设定。用户允许的最多登录企图的次数的取值范围为:1～999。如果设定的值为5次,就表示用户在连续5次的错误登录之后,系统就会锁定该账户。 ④ 对于锁定时间能够在”复位账号前锁定”选项处进行设置,经过设定用户账户,在锁定前的最大登录时间间隔,其取范围为1～99999分钟。例如:如果将此时间设定为30分钟,就表示用户在30分钟之内,连续进行了允许的错误登录次数后,其账户将被自动锁定。 ⑤ 在”锁定时间”处,设定对锁定账户的处理方式。如果选择了”永久”单选项,将使得被锁定的账户在管理员解锁它们之前,保持锁定状态。如果选择了”时间”单选项,则要求设定锁定时间,即被锁定的用户账户将在该时间之后自动解锁,从而恢复该账户的使用权。 ⑥ 在图15-8所示的窗口中,如果选择了”账号不锁定”的单选项,则系统对于登录失败将不进行任何的处理。注意:为了防止她人不断地登录而猜出用户的密码,最好不要选择此项,而应按照上面所介绍的方法进行必要的设置。 ⑦ 为了防止用户非法访问域,每一个用户账户都要设置一个密码。Windows NT的身份验证系统,要求用户在登录NT网络时,提供正确的密码,否则用户的入网请求将被拒绝。Windows NT密码的策略如表15-2所述,这里仅介绍用户密码的保护方法和操作步骤。 l 依次选择”开始→程序→管理工具→域用户管理工具”命令选项,激活如图15-7所示的窗口。 l 在图15-7所示的窗口中,选择”规则(策略)→账户”命令选项。 l 在激活的窗口中,选择”密码最长期限”选项,能够设置用户口令能够使用的时间,其取值范围为1～999天。之后,用户将被要求改变口令。为安全起见,应当要求用户经常更换她们的口令。在中等安全性的网络中,要求用户每45～90天更换一次口令。在高等安全性的网络中,要求用户每14～45天更换一次口令。当然,也能够将其设置为”密码永久有效”,为了避免密码失窃,建议尽量不要这样设置。 l ”最短密码期限”选项,用来设置口令在被用户改变之前,必须要保持的时间,其取值范围为1～999天。值得注意的是:本项设置的时间一定要小于”③”中所设置的密码最长期限值。 l ”最短密码长度”选项,用来设置口令的最小长度,由于口令越长越难被破译,因此,在中等安全性的网络中,要求用户的口令长度为6～8个字符。在高等安全性网络中,要求用户的口令长度为8～14个字符。当然,也能够设置为”允许空密码”,即允许用户不设置密码,为了保证系统的安全,建议不要这样选择和设置。 2. Windows NT的访问控制机制 系统的资源包括系统本身、文件、目录和打印机等各种网络共享资源以及其它对象。 在NT-SER中,提供了控制资源存取的工具。对资源能够灵活地控制到特定的用户、多个用户、nobody、用户组或所有人等。这些控制能够由资源的所有者、系统管理员用户,以及其它被授授予了资源控制权限的用户来完成。 15.1.2.2 文件和目录的安全性 网络中最主要的资源就是文件和目录,因此,几乎所有操作系统的访问控制机制的安全特性都取决于文件和目录的安全性。当然,文件和目录的安全也是Windows NT安全模型的核心。文件和目录的安全性能够应用于单个文件、多个文件、目录或整个的目录结构。因此,NT的资源访问控制系统,能够确定用户对目录和文件的访问和使用的权利。它除了规定了用户所能访问的网络信息资源的目录和文件外,还能够控制用户的访问层次和范围。 1. 经过共享许可(权限)保护网络资源 （1） 共享的基本概念 共享和共享文件夹:当一个目录(文件夹)被共享时,用户就能够经过网络连接到该共享目录(文件夹)上,进而访问该文件夹中的所有文件和文件夹。因此,共享是一种开放共享资源的操作,而所开放的目录资源就被称为共享目录。 （2） 共享许可(权限) ① 共享许可。在共享许可情况下,用户能够经过共享目录(文件夹)来访问网络的程序、数据和用户的宿主文件夹,但不能对目录下的文件具有单独和特定的权限。另外,当用户从本地登录访问资源时,共享目录设置的权限(许可)是无效的。 ② 共享许可使用的目的。其基本目的是:避免网络中的每个用户都安装同样的文件和目录。共享许可应用的另一个目的:是将安全性运用于网络的共享资源上,例如:共享许可运用于目录上,能够实现共享目录的网络安全访问。 ③ FAT分区中的共享许可。在FAT分区上,共享许可是使得网络资源获得安全性的惟一方法。而在NTFS分区上,能够经过”共享许可”与下面将要介绍的”文件许可和目录许可”两种途径来对网络中的文件和目录资源进行保护。 ④ 共享目录许可(权限)的类型。共享目录许可的类型有四种,由高到低依次表示为:完全控制、更改、读取与拒绝访问。 （3） 用户和组的共享许可 如果管理员需要控制用户对共享目录的访问,就要给用户分配共享目录的访问权限。共享资源的权限既能够被单独地分配给用户或组;也能够被同时分配给组和用户。因此,一个用户既能够直接获得某个目录的使用权限,也能够作为组的成员获得该目录的使用权限。一般情况下,用户对某个资源的有效权限为用户权限和组权限的组合,即取用户和组权限中的较高权限。例如:如果用户对于某个目录具有了”读取”权限,同时Everyone组被分配了该目录”完全控制”的访问权限。则由于该用户必定是Everyone的组员,因此,用户和组的组合权限的结果是该用户对于这个目录具有”完全控制”的访问权限。 注意:”拒绝访问”权限是个例外,因为,”拒绝访问”权限总会覆盖掉其它权限,在上例中,假定该用户对该目录的权限为”拒绝访问”,而Everyone组同样被分配了”完全控制”权限,组合结果是该用户对于此目录的访问权限为”拒绝访问”。 （4） 对于用户和组分配共享许可的一般准则 ① 对被访问的资源确定允许访问的组。 ② 给组分配其应具有的访问许可的类型。 ③ 在允许网络用户执行所需的任务的前提下,给共享资源分配最严格的权限。 ④ 删除新共享文件夹上的给Everyone组分配的”完全控制”的缺省权限。 注意:为了简化管理,应当尽量使用组账户进行权限设置的管理,即先把用户添加到组中,再给需要访问该资源的组,而不是单个用户分配访问权限。 （5） 共享目录的权限(许可)的应用 下面从网络安全的角度出发,将介绍为共享目录分配许可(权限)的步骤。 ① 依次选择”开始→程序→Windows NT资源管理器”命令选项,打开NT中的资源管理器窗口。 ② 选择拟管理的”驱动器→目录”,单击鼠标右键,在激活的快捷菜单中,选择”属性”选项。 ③ 在所选目录的”属性”窗口,选择”共享”选项卡,在该窗口中,即可对以下内容进行设置。 l ”共享名”选项处应输入该目录的共享名。应注意:管理员或用户能够经过在共享名后,加一个”$”符号来创立一个隐藏的共享目录,当用户在浏览计算机时,$符号能够将此共享目录隐藏起来。拥有该隐藏目录使用许可的用户依然能够使用它。 l ”用户个数”选项:并输入使用该资源的确定用户数目。 l ”备注”选项:用于输入该共享资源的描述,经过描述能够标识共享目录的内容,该选项处能够空白。 ④ 在”属性”窗口中,单击”权限”按钮。在激活的窗口中,能够为用户或组分配选定目录的使用权限。此处,应先选择用户和组,再为其分配权限类型。能够选择的访问类型有”完全控制”、”读取”和”拒绝访问”等。 对于一个已共享的目录,管理员能够执行”停止该目录的共享”的操作。当然,管理员必须注意,如果停止一个用户正在使用的目录,则可能导致用户数据的丢失。因此,当需要停止目录的共享时,会出现一个对话框提醒有用户正连接到该共享目录上。 2. 经过NTFS许可保护网络资源 Windows NT操作系统一般是利用NTFS文件系统,而不是FAT文件系统来格式化硬盘的。在NTFS分区中能够经过共享许可和文件和目录许可两种方式实现网络资源的安全保护。由此可见,在NTFS分区上,除了能够实现文件和目录的共享之外,还能够在文件和目录一级实施安全措施。 （1） NTFS许可(权限) ① NTFS许可:NTFS许可(权限)就是只能在NTFS文件系统分区上使用的权限。 ② 使用NTFS权限(许可)的目的:共享许可只能控制网络资源的访问,而不能阻止从本地登录时对硬盘的任何操作;即使用共享许可用户能够经过本地的交互式登录,从本地访问文件和目录,因此,共享许可不能保护目录和单个的文件。而NTFS许可(权限)不但能够控制远程登录用户的访问,还能限制本地登录用户操纵文件和目录的能力。另外,在NTFS中,还能够审核任何个人和组访问文件和目录事件的成败情况,即用户的权限能够分配给目录和单独的文件,因此采用NTFS能够提供更高的安全性。 ③ NTFS许可类型:能够按文件和目录许可分为两大类,即文件许可和目录许可两类。每类NTFS许可又能够分别包括NTFS的标准许可和NTFS的特殊访问许可两类。 l NTFS的标准许可(权限):包括标准文件许可和标准目录许可两类。在大多数情况下,Windows NT的文件系统中都使用NTFS标准许可 l NTFS的特殊访问许可(权限):包括特殊文件访问许可和特殊目录访问许可两类。 ④ 文件许可:用于控制对文件的访问。文件许可又能够进一步分为标准文件许可和特殊访问文件许可两类。 l 标准文件许可的类型:拒绝访问(None)、读取(RX)、更改(RWXD)和完全控制(All)等4种。 l 特殊访问文件许可的类型:读取(R)、写入(W)、执行(X)、删除(D)、更改许可权(P)和获得所有权(O)等6种。 ⑤ 目录许可:用于控制对NTFS分区中各目录的访问。目录许可也能够进一步分为标准目录许可和特殊访问目录许可两类。 l 标准目录许可的类型(文件和目录的访问权利):拒绝访问(None和None)、列表(RX和未指定)、读取(RX和RX)、添加(WX和未指定)、添加与读取(RWX和RX)、更改(RWXD和RWXD)和完全控制(All)等7种。 l 特殊访问目录许可的类型:完全控制(All)、读取(R)、写入(W)、执行(X)、删除(D)、更改许可权(P)和获得所有权(O)等7种。 注意: l 在NTFS分区上创立目录或文件的用户将成为该文件或目录的所有者,而所有者总是能够分配和改变资源权限的。 l NTFS中文件的权限高于该文件存放目录所分配的权限。例如:一个用户对一个目录拥有”写入”权限,对这个目录中的某文件却只有”读取”的权限时,则用户对该文件的权限是”读取”。 对于组账户和用户账户设置、使用和管理NTFS权限的方法与FAT文件系统中共享权限(许可)的类似,一个用户既能够被直接分配权限,也可作为组的成员被分配权限。 在共享许可中,权限能够分配给用户和组,但共享许可只能提供有限的安全性。 在NTFS许可中,经过NTFS许可和共享许可的组合,而获得网络资源的最大程度的安全性,在这两者许可中,限制最严格的权限是用户最终得到的有效权限。 （2） 分配NTFS许可(权限)的准则 ① 移去给Everyone组的完全控制许可。 ② 给管理员组(Administrator组)分配完全控制许可。 ③ 对数据文件夹的创立组(Creator Owner组)分配完全控制许可。 ④ 让用户为自己的文件分配NTFS许可。 ⑤ 在完成任务的前提下,为用户分配最严格的权限。 （3） 应用和分配NTFS许可时的操作步骤 ① 在NTFS系统分区上的NT-SER或NT-WS上,依次选择”开始→程序→Windows NT资源管理器”命令选项,打开”NT资源管理器”窗口。 ② 选择拟管理的目录或文件后,单击鼠标右键,在激活的快捷菜单中,选择”属性”选项。 ③ 在激活的选定目录或文件的”属性”窗口中,选择”安全性”选项卡,从中选择并单击”权限”按钮。 ④ 在激活的窗口中,经过选择”访问类型”来为当前的组和用户分配权限。在该窗口中,所见到的是NTFS的标准权限。另外,从”访问类型”列表中,能够经过选择”选择性目录访问”和”选择性文件访问”选项,进一步扩充目录的访问权限。 ⑤ 选定之后,单击”添加”按钮,在激活的窗口中,能够为其它的用户和组分配所目录或文件的NTFS 权限。最后,单击”确定”按钮,完成对组或用户NTFS目录权限的分配任务。 15.1.2.3 安全审核系统 审核是用来跟踪用户的活动及网络中发生的各种事件。经过审核,能够将一项指定的行为或事件记录在安全日志中。一条审核记录应该解决的问题和包含的内容:、审计的对象(审计谁)、发生的行为(审什么)、 实施该行为的用户(谁审计)、行为发生的时间和日期(何时审)、何时清除审计结果,以及制定合适的审计方案等。 安全审核系统也是也是网络操作系统中安全系统的非常重要的组成部分,它是对身份验证系统和资源访问控制系统的必要补充。安全审核系统能够保证在网络安全出现问题时,记录当前信息,为排除安全故障提供至关重要的信息。例如:Windows NT提供了三个事务审核与跟踪的系统,即安全日志、系统日志和应用程序日志。 1. 审核策略的拟定与实施 在拟定和实现一份审核策略时,应考虑和注意如下一些因素。 ① 明确所审核的类型和事件。常见的审计类型有3类:系统审计、应用程序审计和用户自行配置的安全性审计等。例如:用户的登录及登录退出、文件或目录的使用、关闭和重新启动Windows NT Server、用户和组的改变以及安全规则的改变等。 ② 明确审核的是事件的成功,还是失败的记录。 l 跟踪事件的成功记录能了解文件和打印机的访问频率,从而有助于进行资源规划。 l 跟踪事件的失败记录,将对非法入侵发出警报。 l 在中等和高等安全的网络中,应该跟踪:用户登录成功和失败的记录,及资源的使用情况。 ③ 决定是否需要跟踪事态的发展。如果需要,应该有计划地将安全日志进行存档或清除。 ④ 确定审核策略设置的位置。审核策略的实现位置是基于本机的。例如:对于审核发生在”主域控制器”上的事件,如用户登录和改变用户账户等,必须在”主域控制器”上设置审核策略。而要想审核其它计算机的事件,如访问一个成员服务器上的文件,就要在成员服务器上设置审核事件。 ② 审核的实施者。只有域的管理员(Administrator)能够设置域控制器上的文件、目录和打印机的审核。对于非域控制器的计算机,只有本机的管理员组(Administrator组)的成员才能设置审核。当审核设置好之后,管理员组的成员都能够查看并保存安全日志,完成其它的管理任务。 ③ 对于文件和目录的审核,只能在NTFS分区上完成。 注意:设置太多的审核任务将会加大系统的负荷。如果服务器已经很繁忙,我们应该将审核任务减到最少。 2. 安全审核系统的设置 在NT网络中审核系统的设置能够分成两个主要部分。其一,设置选定计算机中需要审核的事件。其二,设置其它要审核对象的审核事件。例如:文件、目录和打印机等对象的审核事件等。 在PDC上能够设置域的审计事件。设置PDC计算机中需要审核事件的步骤如下。 ① 选择”开始®程序(P)®管理工具(公用)®域用户管理器”激活图15-7 所示的”域用户管理器”窗口。 ② 在图15-7所示窗口,选择菜单项”规则(P)”,选择其中的”审核(D)”选项,激活如图15-9所示的”审核规则”窗口。 图15-9 ”域用户管理器”中的”审核规则”窗口 ③ 在图15-9所示的窗口中,管理员既能够审核成功的操作,也可审核失败的操作。当选择某安全事件之后,能够将复选框打上”√”。 ④ 系统能够审核的事件说明如下。 l 登录及注销:指用户的登录或登录退出。经过网络与一台服务器建立连接或断开连接 。 l 文件及对象访问:指设置了用户访问目录、文件和打印机的审核。 l 用户权限的使用:指用户使用了某种权力(有关登录或登录退出的权力除外)。 l 用户及组管理:指创立、删除或重新使用一个用户账户或组,更改用户口令,重新命名、禁止或重新使用一个用户账户。 l 安全性规则(策略)更改:指更改用户权力,审核规则或信任关系。 l 重新启动、关机及系统:指用户重新启动或关闭计算机,或者是影响到系统安全或安全日志的事件,例如:安全日志已经满了。 l 进程追踪:指对各种事件的详细跟踪记录信息,例如程序的启动。 ⑤ 完成上述的设置之后,应当进一步的设置其它要审核对象的审核事件。例如:可选择或指定的其它可审核的对象有文件、目录和打印机等。 3. 使用事件查看器查看审计的数据 安全审核系统将审核的结果保存在系统的各种日志中,管理员经过事件查看器能够查看系统的日志。事件查看器能够提供出错信息、警告信息,以及执行某项任务的成功或者失败等内容的具体信息。这些信息存放在以下3类日志内。 ① 系统日志:包括系统产生出错信息、警告信息以及提示信息。这是由Windows NT预先设定好的。 ② 安全日志:包括设置审核事件成功或是失败的信息。这些事件都是在审核规则中设定的。 ③ 应用日志:包括应用程序产生的出错信息,警告信息以及提示信息。这是由程序开发者事先设定好的。