Windows 7是否具有安全审计的功能

Win7对审计功能做了很大的优化，简化配置的同时，增加了对特定用户和用户组的管理措施，特殊人物可以特殊对待。

当将某个文件夹设置为共享后，可以通过 *** 作系统的访问审核功能，让系统记录下访问这个共享文件 的相关信息。这个功能在Windows7以前的 *** 作系统版本中就可以实现。此时的安全审核在共享级。共享 时一个文件服务器的入口点，以便允许用户访问文件服务器上的特定目录。注意，共享级别的安全审核 ，无法做到审计文件访问，即文件级别的安全审核访问。也就是说，现在只是针对一个单独的文件需要 设置审计文件访问，在FAT32等比较老的文件系统中无法实现，他们只能够针对整个文件加设置访问审计 ，而无法针对特定的文件。

一、在文件级别还是在共享级别设置安全审计

共享级别安全性只能够在文件夹上设置安全审计，所以其灵活性相对差一点。而文件级别的安全 审计，可以在特定的服务器上、目录或者文件上设置审计。故系统管理员的灵活性比较高，可以根据时 机需要，在合适的地方部署安全审计。如可以对NTFS分区进行审计允许告知系统管理员谁在访问或者试 图访问特定的目录。在Windows网络中， 对一些关键网络资源的访问进行审计，是提高网络安全与企业 数据安全的比较通用的手法，可以通过安全审计来确定是否有人正试图访问受限制的信息。

在哪 个级别上设置安全审计比较有利呢?这主要看用户的需要。如在一个文件夹中，有数以百计的文件。而其 实比较机密的可能就是五、六个文件。此时如果在文件夹级别上实现安全访问审计的话，那么在安全日 志中，其审核记录会很多。此时查看起来反而会非常的不方便，有时候反而有用的记录会被那些无用记 录所遮挡掉。为此，如果一个文件夹中文件或者子文件夹比较多，而有审计要求的文件又在少数，此时 显然在文件级别上(即对特定的几个文件)设置“审计文件访问”比较合适。如此可以减少系 统管理员后续维护的工作量。相反，在共享文件中，有一个特定的文件夹专门用来放置一些机密文件， 此时就是在文件夹级别上实现安全审计更加的合理。可见在哪个级别上来实现安全审计策略，并没有一 个固定的标准。这主要看用户需求来定的。如果一定要说出一个具体的参考标准，那么可以根据如下这 个准则来选择，即在哪个级别上所产生的审核记录最少而且可以涵盖用户的安全需求，就在哪个级别上 设置安全访问审计。简单的说，就是同时满足两个条件。一是产生的审核记录最少，便于阅读二是需要 满足用户安全方面的需求。往往则两个条件是相互矛盾的，系统管理员需要在他们之间取得一个均衡。

二、该选用什么样的安全审计策略?

在审计文件访问策略中，可以根据需要选择多种安全 审计策略，即可以告诉 *** 作系统，在发生哪些 *** 作时将访问的信息记入到安全日志中，包括访问人员、 访问者的电脑、访问时间、进行了什么 *** 作等等。如果将全部的访问 *** 作都记录在日志中，那么日志的 容量会变得很大，反而不易于后许的维护与管理。为此系统管理员在设置审计文件访问策略时，往往需 要选择一些特定的事件，以减少安全访问日志的容量。为了达到这个目的，下面的一些建议各位系统管 理员可以参考一下。

一是最少访问 *** 作原则。在Windows7种，将这个访问 *** 作分为很细，如修改 权限、更改所有者等等十多种访问 *** 作。虽然系统管理员需要花一定的时间去考虑该选择哪些 *** 作或者 进行相关的设置，但是对于系统管理员来说这仍然是一个福音。权限细分意味着管理员选择特定的访问 *** 作之后，就可以得到最少的审核记录。简单的说，“产生的审核记录最少而且可以涵盖用户的安 全需求”这个目标更容易实现。因为在实际工作中，往往只需要对特定的 *** 作进行审计即可。如只 对用户更改文件内容或者访问文件等少部分 *** 作进行审计即可。而不需要对全部 *** 作进行审计。如此产 生的审计记录就会少的多，同时用户的安全需求也得以实现。

二是失败 *** 作优先选择。对于任何 的 *** 作，系统都分为成功与失败两种情况。在大部分情况下，为了收集用户非法访问的信息，只需要让 系统记入失败事件即可。如某个用户，其只能够只读访问某个共享文件。此时管理员就可以给这个文件 设置一个安全访问策略。当用户尝试更改这个文件时将这个信息记入下来。而对于其他的 *** 作，如正常 访问时则不会记录相关的信息。这也可以大幅度的减少安全审计记录。所以笔者建议，一般情况下只要 启用失败事件即可。在其不能够满足需求的情况下，才考虑同时启用成功事件记录。此时一些合法用户 合法访问文件的信息也会被记录下来，此时需要注意的是，安全日志中的内容可能会成倍的增加。在 Windows7 *** 作系统中可以通过刷选的方式来过滤日志的内容，如可以按“失败事件”，让系 统只列出那些失败的记录，以减少系统管理员的阅读量。

三、如何利用蜜糖策略收集非法访问者 的信息?

在实际工作中，系统管理员还可以采用一些“蜜糖策略”来收集非法访问者 的信息。什么叫做蜜糖策略呢?其实就是在网络上放点蜜糖，吸引一些想偷蜜的蜜蜂，并将他们的信息记 录下来。如可以在网络的共享文件上，设置一些看似比较重要的文件。然后在这些文件上设置审计访问 策略。如此，就可以成功地收集那些不怀好意的非法入侵者。不过这守纪起来的信息，往往不能够作为 证据使用。而只能够作为一种访问的措施。即系统管理员可以通过这种手段来判断企业网络中是否存在 着一些“不安分子”，老是试图访问一些未经授权的文件，或者对某些文件进行越权 *** 作， 如恶意更改或者删除文件等等。知己知彼，才能够购百战百胜。收集了这些信息之后，系统管理员才可 以采取对应的措施。如加强对这个用户的监控，或者检查一下这个用户的主机是否已经成为了别人的肉 鸡等等。总之系统管理员可以利用这种机制来成功识别内部或者外部的非法访问者，以防止他们做出更 加严重的破坏。

四、注意：文件替换并不会影响原有的审计访问策略。

如上图中，有一 个叫做捕获的图片文件，笔者为其设置了文件级别的安全审计访问，没有在其文件夹“新建文件夹 ”上设置任何的安全审计访问策略。此时，笔者如果将某个相同的文件(文件名相同且没有设置任 何的安全审计访问策略)复制到这个文件夹中，把原先的文件覆盖掉。注意此时将这个没有设置任何的安 全审计访问策略。文件复制过去之后，因为同名会将原先的文件覆盖掉。但是，此时这个安全审计访问 策略的话就转移到新复制过去的那个文件上了。换句话说，现在新的文件有了原来覆盖掉的那个文件的 安全审计访问权限。这是一个很奇怪的现象，笔者也是在无意之中发现。不知道这是Windows7 *** 作系统 的一个漏洞呢，还是其故意这么设置的?这有待微软 *** 作系统的开发者来解释了。

除了服务器系统之外，windows7系统的安全性也是非常值得信任的，也正因为它极高的安全防护受到了很多用户的喜爱，拥有着一群广泛的体验用户，究竟是怎样的安全机制来保护着系统呢，让我们去认识一下windows7系统下强大的安全功能吧。

1、Kernel Patch：系统级的安全平台的一个亮点就是kernel patch，它可以阻止对进程列表等核心信息的恶意修改，这种安全保护这只有在 *** 作系统能实现，其他杀毒软件是无法实现的。

2、进程权限控制：低级别的进程不能修改高级别的进程。

3、用户权限控制UAC：将用户从管理员权限级别移开，在缺省条件下用户不再一直使用管理员权限，虽然UAC一直被争议，在使用中笔者也常常感到繁琐，但用户权限控制确实是 *** 作系统的发展趋势，因为用户一直使用管理员权限是非常危险的。

当然，Win7还是有了很大的改善，在Vista下，UAC管理范围很宽，很多应用都碰到UAC提示。而在Win7里，减少了需要UAC提示的 *** 作，强调安全的同时更加注重用户体验

4、审计功能：Win7对审计功能做了很大的优化，简化配置的同时，增加了对特定用户和用户组的管理措施，特殊人物可以特殊对待。

5、安全访问：一台机器上多个防火墙的配置。Win7里面可以同时配置存储多个防火墙配置，随着用户位置的变换，自动切换到不同的防火墙配置里。

6、DNSSec支持：增强了域名解析协议标准，老的DNS是有风险的，因此增加了对DNS增强版DNSSec的支持。

7、NAP网络权限保护：这个是在VISTA中就引入的功能，里继续继承了。可以对电脑进行健康检验。

8、DirectAccess安全无缝的同公司网络连接：远程用户通过VPN难以访问公司资源，IT面临对远程机器管理的挑战。win7系统的解决方案就是DirectAccess，提供了公司内外对公司资源的一致性访问体验。提高远程用户的效率。唯一的局限在于，只能在server2008系统中才能使用。

9、应用程序控制AppLocker：禁止非授权的应用程序在网络运行。对应用程序进行标准化管理，通过Group Policy进行管理。其中一个亮点是规则简单，可以基于厂商的信任认证，比如你把AAA公司设为黑名单，以后所有这个公司的软件产品和程序，都会被拒绝。

10、数据保护BitLocker：保护笔记本丢失后数据安全问题，同时也支持对U盘的加密和保护，优盘是病毒传播的重要途径之一，BitLocker可以对U盘进行加密处理，防止别人对你的优盘进行数据写入。这就阻隔的病毒侵入的风险。

Windows7系统的安全性防护是用户们有目共睹的，正因为有上述介绍的这些强大的安全功能做后盾，windows7系统的用户才可以这么放松，这么没烦恼地畅游网络，放心使用系统。

show parameter audit_trail

查看audit_trail的值，如果值是"none"表示没有开审计，否则就开了。

不同的值代表不同的意思（下面是10g的）:

none：

Disables database auditing.

os：

Enables database auditing and directs all audit records to the operating system's audit trail.

db：

Enables database auditing and directs all audit records to the database audit trail (the SYS.AUD$ table).

db,extended：

Enables database auditing and directs all audit records to the database audit trail (the SYS.AUD$ table). In addition, populates the SQLBIND and SQLTEXT CLOB columns of the SYS.AUD$ table.

xml：

Enables database auditing and writes all audit records to XML format OS files.

xml,extended：

Enables database auditing and prints all columns of the audit trail, including SqlText and SqlBind values.

查看aud$表(或者dba_audit_trial视图)中是否有数据，如果有数据说明审计功能开启的

select * from aud$

select * from dba_audit_trial

查看系统开启了那些审计功能

select * from dba_priv_audit_opts系统权限审计

select * from dba_obj_audit_opts对象权限审计

---