在審計文件訪問策略中，可以根據(jù)需要選擇多種安全審計策略，即可以告訴操作系統(tǒng)，在發(fā)生哪些操作時將訪問的信息記入到安全日志中，包括訪問人員、訪問者的電腦、訪問時間、進行了什么操作等等。如果將全部的訪問操作都記錄在日志中，那么日志的容量會變得很大，反而不易于后許的維護與管理。為此系統(tǒng)管理員在設(shè)置審計文件訪問策略時，往往需要選擇一些特定的事件，以減少安全訪問日志的容量。為了達到這個目的，下面的一些建議各位系統(tǒng)管理員可以參考一下。

一、最少訪問操作原則。

在Windows 7中，將這個訪問操作分為很細，如修改權(quán)限、更改所有者等等十多種訪問操作。雖然系統(tǒng)管理員需要花一定的時間去考慮該選擇哪些操作或者進行相關(guān)的設(shè)置，但是對于系統(tǒng)管理員來說這仍然是一個福音。權(quán)限細分意味著管理員選擇特定的訪問操作之后，就可以得到最少的審核記錄。簡單的說，“產(chǎn)生的審核記錄最少而且可以涵蓋用戶的安全需求”這個目標更容易實現(xiàn)。因為在實際工作中，往往只需要對特定的操作進行審計即可。如只對用戶更改文件內(nèi)容或者訪問文件等少部分操作進行審計即可。而不需要對全部操作進行審計。如此產(chǎn)生的審計記錄就會少的多，同時用戶的安全需求也得以實現(xiàn)。

二、失敗操作優(yōu)先選擇。

對于任何的操作，系統(tǒng)都分為成功與失敗兩種情況。在大部分情況下，為了收集用戶非法訪問的信息，只需要讓系統(tǒng)記入失敗事件即可。如某個用戶，其只能夠只讀訪問某個共享文件。此時管理員就可以給這個文件設(shè)置一個安全訪問策略。當用戶嘗試更改這個文件時將這個信息記入下來。而對于其他的操作，如正常訪問時則不會記錄相關(guān)的信息。這也可以大幅度的減少安全審計記錄。所以筆者建議，一般情況下只要啟用失敗事件即可。在其不能夠滿足需求的情況下，才考慮同時啟用成功事件記錄。此時一些合法用戶合法訪問文件的信息也會被記錄下來，此時需要注意的是，安全日志中的內(nèi)容可能會成倍的增加。在Windows 7操作系統(tǒng)中可以通過刷選的方式來過濾日志的內(nèi)容，如可以按“失敗事件”，讓系統(tǒng)只列出那些失敗的記錄，以減少系統(tǒng)管理員的閱讀量。

三、如何利用蜜糖策略收集非法訪問者的信息？

在實際工作中，系統(tǒng)管理員還可以采用一些“蜜糖策略”來收集非法訪問者的信息。什么叫做蜜糖策略（蜜罐策略）呢？其實就是在網(wǎng)絡(luò)上放點蜜糖，吸引一些想偷蜜的蜜蜂，并將他們的信息記錄下來。如可以在網(wǎng)絡(luò)的共享文件上，設(shè)置一些看似比較重要的文件。然后在這些文件上設(shè)置審計訪問策略。如此，就可以成功地收集那些不懷好意的非法入侵者。不過這守紀起來的信息，往往不能夠作為證據(jù)使用。而只能夠作為一種訪問的措施。即系統(tǒng)管理員可以通過這種手段來判斷企業(yè)網(wǎng)絡(luò)中是否存在著一些“不安分子”，老是試圖訪問一些未經(jīng)授權(quán)的文件，或者對某些文件進行越權(quán)操作，如惡意更改或者刪除文件等等。知己知彼，才能夠購百戰(zhàn)百勝。收集了這些信息之后，系統(tǒng)管理員才可以采取對應(yīng)的措施。如加強對這個用戶的監(jiān)控，或者檢查一下這個用戶的主機是否已經(jīng)成為了別人的肉雞等等?？傊到y(tǒng)管理員可以利用這種機制來成功識別內(nèi)部或者外部的非法訪問者，以防止他們做出更加嚴重的破壞。

四、 注意：文件替換并不會影響原有的審計訪問策略

設(shè)置安全審計

如上圖中，有一個叫做捕獲的圖片文件，為其設(shè)置了文件級別的安全審計訪問，沒有在其文件夾“新建文件夾”上設(shè)置任何的安全審計訪問策略。此時，筆者如果將某個相同的文件（文件名相同且沒有設(shè)置任何的安全審計訪問策略）復(fù)制到這個文件夾中，把原先的文件覆蓋掉。注意此時將這個沒有設(shè)置任何的安全審計訪問策略。文件復(fù)制過去之后，因為同名會將原先的文件覆蓋掉。但是，此時這個安全審計訪問策略的話就轉(zhuǎn)移到新復(fù)制過去的那個文件上了。換句話說，現(xiàn)在新的文件有了原來覆蓋掉的那個文件的安全審計訪問權(quán)限。這是一個很奇怪的現(xiàn)象，筆者也是在無意之中發(fā)現(xiàn)。不知道這是Windows 7操作系統(tǒng)的一個漏洞呢，還是其故意這么設(shè)置的？這有待微軟操作系統(tǒng)的開發(fā)者來解釋了。

【編輯推薦】

1. IE 9 RC在Windows 7出現(xiàn)內(nèi)存泄露問題
2. 七步完成Windows 7大規(guī)模桌面部署
3. 五款免費的Windows 7系統(tǒng)優(yōu)化工具
4. 如何讓W(xué)indows 7自動更新硬件驅(qū)動
5. 亞馬遜：微軟將停售Windows 7家庭包