就像其他Windows操作系统一样,Windows 2000 Professional使得用户能够在网络上和其他人共享文件夹。共享文件夹可以用共享权限来保护,如果该文件夹存在于一个NTFS系统分区上,就可以用NTFS权限来保护。但是,即使恰当地使用这些安全机制,在很多情况下,掌握了解谁访问了某个文件夹或文件还是非常重要的。过度地使用某个特定账号访问一个文件夹可能预示着那个用户帐号已被损坏。
监控共享访问权限最直接的方法可能是审核目标访问权限。当有人访问一个文件夹或文件时,或访问失败时,使Windows会将一个事件写入安全事件日志当中。有效的监控有助于追踪谁在使用文件夹;还可以有助于识别被授权的面临问题的用户,或那些试图访问没有被授予权限的共享文档的用户。
1.打开Security SettingsLocal PoliciesAudit PolicyAudit Object Access,在本地策略或组策略中审核目标访问权限。
2.给单个文件夹和文件配置审核功能,在这个文件夹或文件上点击右键,选择属性。
3.点击Security标签和Advanced。
4.点击Auditing标签和Add,增加一个组或用户,然后按OK。
5.在接下来的Auditing Entry对话框中,给你想监控的每个事件在其Successful and/or Failed栏里设置审核。
6.点击OK关闭对话框,再关闭剩下的对话框,然后关闭文件夹的属性。
注意:审核一个经常使用的文件夹或文件,会在安全日志中生成大量事件。
Internet信息服务器(IIS)用ISAPI(Internet Server API)过滤器来实现不包含在核心IIS属性中的属性。譬如说,IIS用ISAPI过滤器来支持SSL (sspifilt.dll)、压缩(compfilt.dll)、Digest授权(md5filt.dll)和FrontPage Server Extensions (fpexedll.dll)。
只有当你使用它支持的属性时,才需要一个特定的ISAPI过滤器。例如,如果你的服务器上没有FrontPage Web,你可以删除其过滤器。同样,如果你不使用SSL,你也可以删除其过滤器。删除ISAPI过滤器可以减少IIS的一般管理费用以及避免由特定过滤器可能带来的bug和安全风险。
一些全局过滤器由IIS装载,而其它的可以由每个网站单独装载。因此,你需要在两个地方寻找ISAPI过滤器:
要删除全程过滤器,可以使用下面的方法:
1.打开IIS控制台,在服务器上点击右键,选择属性。
2.在Internet信息服务器标签上点击Master Properties组中的Edit,然后点击ISAPI过滤器标签。
3.ISAPI过滤器标签罗列了装载在服务器中的所有全球过滤器。选择一个过滤器,点击Remove,或者点击Disable,离开列表中的过滤器,但是要阻止它被装载。
为了给某个站点配置ISAPI过滤器,在IIS控制台中的站点上点击右键,选择属性,然后点击ISAPI过滤器标签,就可以删除过滤器或使其失去功能了。