送你微軟原裝的“系統(tǒng)攝像頭”

2024-07-26 00:32:42

字體：大中小

供稿：網(wǎng)友

　　菜鳥(niǎo)的入門(mén)知識(shí)　　

　　1.審核策略是什么

　　審核策略是Windows 2000及以后版本組策略中引入的一個(gè)安全機(jī)制。它可以用日志形式記錄系統(tǒng)中已經(jīng)被審核的事件，而系統(tǒng)管理員通過(guò)生成的日志文件，能輕易發(fā)現(xiàn)和跟蹤發(fā)生在所管理區(qū)域內(nèi)的可疑事件。比如:誰(shuí)曾經(jīng)訪問(wèn)過(guò)哪個(gè)文件、哪些非法程序入侵了你的電腦等。　　

　　2.如何開(kāi)啟“審核對(duì)象訪問(wèn)”策略

　　所有“審核策略”默認(rèn)是沒(méi)有打開(kāi)的，需要手動(dòng)開(kāi)啟。依次打開(kāi)“控制面板→管理工具→本地安全策略”或在“開(kāi)始→運(yùn)行”中輸入“secpol.msc”，打開(kāi)組策略中的“本地安全設(shè)置”編輯器，依次定位到“本地策略→審核策略”，雙擊右側(cè)窗格中的“審核對(duì)象訪問(wèn)”，勾選“成功”或“失敗”即可(見(jiàn)圖1)。

　　　

　　3.查看事件日志

　　設(shè)置了一則審核策略，還得通過(guò)事件查看器來(lái)獲取信息。在“開(kāi)始→運(yùn)行”中輸入“Eventvwr.msc”，接著定位到“事件查看器→安全性”，在右側(cè)窗格中記錄了許多“成功審核”、“失敗審核”的安全性事件。通常情況記錄的事件很多，可以對(duì)其進(jìn)行篩選，依次選擇“查看→篩選”，在“篩選器”選項(xiàng)卡下面的時(shí)間類(lèi)型中只勾選“成功審核”和“失敗審核”;而“事件來(lái)源”和“類(lèi)別”可根據(jù)不同的審查對(duì)象和審查內(nèi)容進(jìn)行篩選，一般情況只需要查看560事件即可(見(jiàn)圖2)。

　　4.使用審核策略的前提

　　實(shí)行審核策略的前提，首先是安裝了Windows xp專(zhuān)業(yè)版(或Windows 2003)，要求審核的文件、文件夾和注冊(cè)表項(xiàng)等必須位于NTFS文件系統(tǒng)分區(qū)，其次必須如上所述打開(kāi)對(duì)象訪問(wèn)事件審核策略。符合以上條件，就可以對(duì)特定文件或文件夾進(jìn)行審核，并且對(duì)哪些用戶(hù)或組指定哪些類(lèi)型的訪問(wèn)進(jìn)行審核。

　　實(shí)戰(zhàn)應(yīng)用初探　　

　　實(shí)戰(zhàn)任務(wù)1:商業(yè)間諜做了些什么？

　　任務(wù)描述:阿桂是一家IT公司的網(wǎng)管，最近，老板發(fā)現(xiàn)一些商業(yè)秘密不脛而走，他想在不讓員工們知道的前提下，監(jiān)控手下人什么時(shí)候訪問(wèn)過(guò)或使用了公司電腦中指定的磁盤(pán)或文件夾中的資料，比如:服務(wù)器“D:/data”文件夾。老板覺(jué)得小何最可疑，于是決定從監(jiān)視他入手。

　　戰(zhàn)前分析:公司員工每人都分配有一個(gè)不同賬戶(hù)(記得不能給他們修改策略設(shè)置的權(quán)限！)，只要監(jiān)視選定賬戶(hù)或組對(duì)目標(biāo)訪問(wèn)時(shí)，需要監(jiān)視目標(biāo)的訪問(wèn)權(quán)和執(zhí)行權(quán)即可。開(kāi)始前首先在“文件夾選項(xiàng)→查看”標(biāo)簽下取消“使用簡(jiǎn)單文件共享”。　　

　　第一步:在“審核策略”中雙擊右側(cè)的“審核對(duì)象訪問(wèn)”，勾選“成功”，確認(rèn)操作并退出編輯器。右擊目標(biāo)磁盤(pán)或文件夾選擇“屬性”，切換至“安全”選項(xiàng)卡，單擊“高級(jí)”，切換至“審核”標(biāo)簽。　　

　　第二步:單擊“添加”，輸入小何使用的用戶(hù)名，因?yàn)樾『螌儆谄胀ㄓ脩?hù)組(users)，所以輸入“計(jì)算機(jī)名/users”，單擊“確定”(見(jiàn)圖3)。這時(shí)會(huì)彈出審核項(xiàng)目選擇窗口，因?yàn)橐O(jiān)視小何對(duì)目標(biāo)的“訪問(wèn)權(quán)和執(zhí)行ā保虼艘囪　氨槔募?運(yùn)行文件”(見(jiàn)圖4)，確定所有操作。

　　第三步:這時(shí)策略已經(jīng)完成了。現(xiàn)在可以試試是否有效。打開(kāi)事件查看器，右擊“安全性”選擇“清空所有事件”后注銷(xiāo)系統(tǒng)。這時(shí)，小何登錄此系統(tǒng)，訪問(wèn)一下“D:/data”并執(zhí)行其中一個(gè)文件(比如運(yùn)行了存放在該目錄底下的“MSN6.2.exe”文件)。注銷(xiāo)系統(tǒng)后，阿桂用管理員身份登錄，查看一下日志，是不是清楚地記錄了剛才小何的訪問(wèn)行為(見(jiàn)圖5)？

　　

　

　　哈哈，證據(jù)在手，小何即使再聰明，也逃不過(guò)網(wǎng)管阿桂的火眼金睛。　

　　實(shí)戰(zhàn)任務(wù)2:我想知道是誰(shuí)“綁架”了我的IE？

　　任務(wù)描述:相信你曾有過(guò)類(lèi)似經(jīng)歷，家人經(jīng)常用你的電腦上網(wǎng)，可是在你使用該電腦后發(fā)現(xiàn)IE的首頁(yè)不知道被哪個(gè)惡心的家伙“綁架”了！雖然你可以恢復(fù)到原來(lái)樣子，卻不知道在哪家網(wǎng)站上遭的殃！怎么才能在下次IE被“綁架”時(shí)抓住真兇呢？

　　戰(zhàn)前分析:我們知道修改IE首頁(yè)，其實(shí)就是在注冊(cè)表中添加一些鍵值，只要監(jiān)視注冊(cè)表中記錄這些信息的鍵，找出“綁匪”應(yīng)該不是什么難事了。
　　
　　第一步:在“審核對(duì)象訪問(wèn)”中設(shè)置審核“成功”。打開(kāi)注冊(cè)表編輯器，找到[HKEY_CURRENT_USER/Software /Microsoft/Internet Explorer/Main]，右擊“Main”項(xiàng)選擇“權(quán)限”。　　

　　小提示
　　如果有必要也可把[HKEY_LOCAL_MACHINE /Software/Microsoft/Internet Explorer/Main]一并監(jiān)視了。　　

　　第二步:單擊“高級(jí)”，切換至“審核”，輸入當(dāng)前用戶(hù)賬戶(hù)，在訪問(wèn)審核項(xiàng)目中勾選“設(shè)置數(shù)值”后應(yīng)用此規(guī)則。　　

　　第三步:打開(kāi)http://www.cfan.com.cn，依次選擇“工具→Internet選項(xiàng)”，在“常規(guī)”項(xiàng)下把當(dāng)前頁(yè)面設(shè)置為默認(rèn)首頁(yè)。這時(shí)，打開(kāi)事件日志查看器，根據(jù)日志記錄就輕易地找到了被修改了的注冊(cè)表項(xiàng)目(見(jiàn)圖6)。

　　實(shí)戰(zhàn)任務(wù)3:怎么揪出注冊(cè)表中的“內(nèi)鬼”？

　　任務(wù)描述:一些軟件在安裝后在不提示用戶(hù)的情況下就自動(dòng)添加啟動(dòng)程序，更有甚者還附帶木馬程序！而這些可惡的行為通常是很難直觀察覺(jué)的，那么怎么才能識(shí)別和揪出它們?cè)谧?cè)表中所放置的“內(nèi)鬼”呢？　　

　　戰(zhàn)前分析:這個(gè)任務(wù)在本刊2004年第17期的《捉出注冊(cè)表中的內(nèi)鬼——注冊(cè)表監(jiān)聽(tīng)器》一文中有過(guò)介紹，該作者是通過(guò)許多注冊(cè)表監(jiān)控軟件來(lái)完成的。其實(shí)用軟件監(jiān)視的原理就是對(duì)控制系統(tǒng)自啟動(dòng)組的注冊(cè)表鍵值進(jìn)行了監(jiān)控，然后根據(jù)前后監(jiān)控目標(biāo)數(shù)據(jù)的變化來(lái)判斷的，現(xiàn)在用“審核對(duì)象訪問(wèn)”策略完成這項(xiàng)任務(wù)。以安裝MSN Messenger后，自動(dòng)添加一個(gè)自啟動(dòng)項(xiàng)為例。

　　第一步:按同樣方法，建立一個(gè)審查修改注冊(cè)表中[HKEY_CURRENT_USER /Software/Microsoft/Windows/ CurrentVersion/Run]鍵的策略。　　

　　第二步:打開(kāi)事件日志查看器清空一下列表，然后安裝MSN Messenger。　　

　　第三步:再次打開(kāi)日志查看器，在右側(cè)窗口中就可以找到修改自啟動(dòng)的事件記錄(見(jiàn)圖7)。
　　
　　

　

　　附表:注冊(cè)表中自啟動(dòng)程序的9個(gè)藏身之所　　

　　Load注冊(cè)鍵　　　　　　　　 HKEY_CURRENT_USER/Software/Microsoft/WindowsNT/CurrentVersion/Windows/load

　　Userinit注冊(cè)鍵　　　　　　　 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon/Userinit

　　ExplorerRun注冊(cè)鍵　　　　　HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run

　　和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows Current/Version/Policies/Explorer/Run

　　RunServicesOnce注冊(cè)鍵　　　 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices/Once

　　和HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunServicesOnce

　　RunServices注冊(cè)鍵　　　　　HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices

　　和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Services

　　RunOnceSetup注冊(cè)鍵　　　　HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnceSetup
　　和HKEY_LOCAL_MACHINE/SOFTWARE /Microsoft/Windows/CurrentVersion/RunOnceSetup

　　RunOnce注冊(cè)鍵　　　　　　 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce和HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce

　　Run注冊(cè)鍵　　　　　　　　 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
　