如何能知道在Windows NT环境中安全防护是否已经被攻击或攻破呢?Windows NT的事件审计系统就可以完成这个功能,我们可以在【User ManagerPolicies】→【Audit】激发控制审计事件的功能。
通过这个功能可以审计各种操作成功和失败的信息,失败的信息通常比成功的信息少得多,但从安全性的角度考虑,失败事件更值得注意,另外,不常用的操作也很值得注意,如安全性策略的改变和再启动往往能反映出未经授权的行为。
Windows NT允许跟踪诸如File Access、Use of User Rights和Process Tracking等成功的操作,但这需要大量的存储空间,而且对跟踪所得的数据进行分析也不是一件容易的事情,使用审计功能,最关键的一步是要查看Windows NT在正常运行时所记录的事件日志,它能帮助我们发现问题的前兆。
审计日志本身也需要保护,因为非法用户在进入完成入侵之后通常会删掉其活动踪迹。首先我们应该定时的自动备份日志文件,但如果这些备份仍然是联机的,则也有可能被非法用户找到。一个比法是将审计事件记录同时制成硬拷贝,或者将其通过 E较好的解决方法是将审计事件记录同时制成硬拷贝,或者将其过能E-mail发送给系统管理员。
