浅谈Win 7系统的文件访问审计策略

2024-08-09

浅谈Win 7系统的文件访问审计策略（精选6篇）

篇1：浅谈Win 7系统的文件访问审计策略

在审计文件访问策略中，可以根据需要选择多种安全审计策略，即可以告诉操作系统，在发生哪些操作时将访问的信息记入到安全日志中，包括访问人员、访问者的电脑、访问时间、进行了什么操作等等，

浅谈Win 7系统的文件访问审计策略

。如果将全部的访问操作都记录在日志中，那么日志的容量会变得很大，反而不易于后许的维护与管理。为此系统管理员在设置审计文件访问策略时，往往需要选择一些特定的事件，以减少安全访问日志的容量。为了达到这个目的，下面的一些建议各位系统管理员可以参考一下。

一、最少访问操作原则

在Win7中，将这个访问操作分为很细，如修改权限、更改所有者等等十多种访问操作。虽然系统管理员需要花一定的时间去考虑该选择哪些操作或者进行相关的设置，但是对于系统管理员来说这仍然是一个福音。权限细分意味着管理员选择特定的访问操作之后，就可以得到最少的审核记录。简单的说，“产生的审核记录最少而且可以涵盖用户的安全需求”这个目标更容易实现。因为在实际工作中，往往只需要对特定的操作进行审计即可。如只对用户更改文件内容或者访问文件等少部分操作进行审计即可。而不需要对全部操作进行审计。如此产生的审计记录就会少的多，同时用户的安全需求也得以实现。

二、失败操作优先选择

对于任何的操作，系统都分为成功与失败两种情况。在大部分情况下，为了收集用户非法访问的信息，只需要让系统记入失败事件即可。如某个用户，其只能够只读访问某个共享文件。此时管理员就可以给这个文件设置一个安全访问策略。当用户尝试更改这个文件时将这个信息记入下来。而对于其他的操作，如正常访问时则不会记录相关的信息。这也可以大幅度的减少安全审计记录。所以笔者建议，一般情况下只要启用失败事件即可。在其不能够满足需求的情况下，才考虑同时启用成功事件记录，此时一些合法用户合法访问文件的信息也会被记录下来，此时需要注意的是，安全日志中的内容可能会成倍的增加。在Windows7操作系统中可以通过刷选的方式来过滤日志的内容，如可以按“失败事件”，让系统只列出那些失败的记录，以减少系统管理员的阅读量。

三、如何利用蜜糖策略收集非法访问者的信息?

在实际工作中，系统管理员还可以采用一些“蜜糖策略”来收集非法访问者的信息。什么叫做蜜糖策略(蜜罐策略)呢?其实就是在网络上放点蜜糖，吸引一些想偷蜜的蜜蜂，并将他们的信息记录下来。如可以在网络的共享文件上，设置一些看似比较重要的文件。然后在这些文件上设置审计访问策略。如此，就可以成功地收集那些不怀好意的非法入侵者。不过这守纪起来的信息，往往不能够作为证据使用。而只能够作为一种访问的措施。即系统管理员可以通过这种手段来判断企业网络中是否存在着一些“不安分子”，老是试图访问一些未经授权的文件，或者对某些文件进行越权操作，如恶意更改或者删除文件等等。知己知彼，才能够购百战百胜。收集了这些信息之后，系统管理员才可以采取对应的措施。如加强对这个用户的监控，或者检查一下这个用户的主机是否已经成为了别人的肉鸡等等。总之系统管理员可以利用这种机制来成功识别内部或者外部的非法访问者，以防止他们做出更加严重的破坏。

四、注意文件替换并不会影响原有的审计访问策略

例如：有一个叫做捕获的图片文件，为其设置了文件级别的安全审计访问，没有在其文件夹“新建文件夹”上设置任何的安全审计访问策略。此时，笔者如果将某个相同的文件(文件名相同且没有设置任何的安全审计访问策略)复制到这个文件夹中，把原先的文件覆盖掉。注意此时将这个没有设置任何的安全审计访问策略。文件复制过去之后，因为同名会将原先的文件覆盖掉。但是，此时这个安全审计访问策略的话就转移到新复制过去的那个文件上了。换句话说，现在新的文件有了原来覆盖掉的那个文件的安全审计访问权限。这是一个很奇怪的现象，笔者也是在无意之中发现。不知道这是Windows7操作系统的一个漏洞呢，还是其故意这么设置的?这有待微软操作系统的开发者来解释了。

篇2：浅谈Win 7系统的文件访问审计策略

1、鼠标点击win7系统“开始”菜单，选择“控制面板”选项;

2、在打开的界面中点击“管理工具”图标;

3、在打开的“管理工具”界面中双击打开“本地安全策略”图标;

4、在打开的“本地安全策略”左侧列表双击展开“本地策略”;

5、单击“安全选项”，在右侧找到并双击打开“网络安全：LAN管理器身份验证级别”选项;

篇3：浅谈Win 7系统的文件访问审计策略

使用电脑的用户都有自己的秘密文件，特别是对于商务用户而言，自然不愿意让别人使用自己的电脑，以免造成商业机密的泄漏。但是有时又不能不让别人用自己的电脑，真是有点犯难了，其实这时我们可以通过简单的设置即将电脑的硬盘锁住，从而就可以让别人访问不到被限制的磁盘。这种方法是利用Windows XP的组策略进行设置的，十分便捷和实用。

首先点击Windows左下角的“开始一运行”，在对话框中输入“gpedit msc”然后确定。(如图1)

此时打开了“组策略”设置窗口。然后在“组策略”设置窗口中，依次打开“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”选项。在右侧设置中找到“防止从‘我的电脑访问驱动器”选项并双击打开。(如图2)

在弹出的对话框中有三个选项，分别是“未配置”、“已启用”和“已禁用”。选择“已启用”，然后在下面就会出现选择驱动器的下拉菜单列表，如果要限制某个硬盘、硬盘分区甚至是光驱的使用。只要选中该驱动器就可以了。比如，我们要限制系统盘c：的使用，选中“仅限制驱动器C”即可。如果希望关闭所有硬盘、光驱等，可以选中“限制所有驱动器”，然后点击应用或保存设置即可。(如图3)

篇4：浅谈Win 7系统的文件访问审计策略

1、关闭防火墙

方法：打开“控制面板”--“系统和安全”--“Windows 防火墙”--“打开或关闭Windows防火墙”，在家庭或工作（专用）网络位置设置，点击关闭Windows 防火墙，然后点确定。（如图1）

图1

2、打开共享电脑的GUEST用户

图2 方法：右击“我的电脑”选择“管理”--“本地用户和组”--“用户”就可以看到一个GUEST的用户（如图2），右击它选择“属性”这里就会弹出一个“GUEST属性”对话框（如图3），将“账户已禁用”前面的勾去掉，然后点击“确定”即可。

图3

3、共享电脑的本地策略设置

方法：打开“控制面板”—“系统安全”--“管理工具”，双击打开“本地安全策略”会弹出一个“本地安全策略”的对话框（如图4），依次点击“安全设置”--“本地策略”--“用户权限分配”这时候可以在右边对话框中就可以看到一条策略，“拒绝从网络访问这台计算机”，双击它弹出一个“拒绝从网络访问这台计算机属性”对话框（如图5），选定GUEST用户点击“删除”，然后“保存”即可。

图4

图5

4、来宾身份验证设置

方法：打开“本地安全策略”下面的“安全设置”--“本地策略”--“安全选项”，然后在右边的对话框里面可以看到一个“网络访问：本地帐户的共享和安全模型”（如图6），这时候我们双击会打开一个“网络访问：本地帐户的共享和安全模型属性”对话框（如图7），然后将其修改成“仅来宾-本地用户以来宾身份验证，其身份为来宾”然后点击“确定”即可。

图6

图7

5、共享文件夹设置

方法：右击需共享的文件夹，点击“属性”，然后在共享选项里点击“高级共享”（如图8），在高级共享对话框里勾选“共享此文件夹”并点击确定（如图9）；接着在安全选项里点击“编辑”（如图10），然后点“添加”并在弹出的对话框内输入guest，点击“检查名称”并确定（如图11），最后“应用”即可完成对该文件夹的设置了（NTFS格式的分区才有安全选项）

图8

图9

图10