Windows 7是否具有安全审计的功能

Win7对审计功能做了很大的优化，简化配置的同时，增加了对特定用户和用户组的管理措施，特殊人物可以特殊对待。

当将某个文件夹设置为共享后，可以通过 *** 作系统的访问审核功能，让系统记录下访问这个共享文件 的相关信息。这个功能在Windows7以前的 *** 作系统版本中就可以实现。此时的安全审核在共享级。共享 时一个文件服务器的入口点，以便允许用户访问文件服务器上的特定目录。注意，共享级别的安全审核 ，无法做到审计文件访问，即文件级别的安全审核访问。也就是说，现在只是针对一个单独的文件需要 设置审计文件访问，在FAT32等比较老的文件系统中无法实现，他们只能够针对整个文件加设置访问审计 ，而无法针对特定的文件。

一、在文件级别还是在共享级别设置安全审计

共享级别安全性只能够在文件夹上设置安全审计，所以其灵活性相对差一点。而文件级别的安全 审计，可以在特定的服务器上、目录或者文件上设置审计。故系统管理员的灵活性比较高，可以根据时 机需要，在合适的地方部署安全审计。如可以对NTFS分区进行审计允许告知系统管理员谁在访问或者试 图访问特定的目录。在Windows网络中， 对一些关键网络资源的访问进行审计，是提高网络安全与企业 数据安全的比较通用的手法，可以通过安全审计来确定是否有人正试图访问受限制的信息。

在哪 个级别上设置安全审计比较有利呢这主要看用户的需要。如在一个文件夹中，有数以百计的文件。而其 实比较机密的可能就是五、六个文件。此时如果在文件夹级别上实现安全访问审计的话，那么在安全日 志中，其审核记录会很多。此时查看起来反而会非常的不方便，有时候反而有用的记录会被那些无用记 录所遮挡掉。为此，如果一个文件夹中文件或者子文件夹比较多，而有审计要求的文件又在少数，此时 显然在文件级别上(即对特定的几个文件)设置“审计文件访问”比较合适。如此可以减少系 统管理员后续维护的工作量。相反，在共享文件中，有一个特定的文件夹专门用来放置一些机密文件， 此时就是在文件夹级别上实现安全审计更加的合理。可见在哪个级别上来实现安全审计策略，并没有一 个固定的标准。这主要看用户需求来定的。如果一定要说出一个具体的参考标准，那么可以根据如下这 个准则来选择，即在哪个级别上所产生的审核记录最少而且可以涵盖用户的安全需求，就在哪个级别上 设置安全访问审计。简单的说，就是同时满足两个条件。一是产生的审核记录最少，便于阅读;二是需要 满足用户安全方面的需求。往往则两个条件是相互矛盾的，系统管理员需要在他们之间取得一个均衡。

二、该选用什么样的安全审计策略

在审计文件访问策略中，可以根据需要选择多种安全 审计策略，即可以告诉 *** 作系统，在发生哪些 *** 作时将访问的信息记入到安全日志中，包括访问人员、 访问者的电脑、访问时间、进行了什么 *** 作等等。如果将全部的访问 *** 作都记录在日志中，那么日志的 容量会变得很大，反而不易于后许的维护与管理。为此系统管理员在设置审计文件访问策略时，往往需 要选择一些特定的事件，以减少安全访问日志的容量。为了达到这个目的，下面的一些建议各位系统管 理员可以参考一下。

一是最少访问 *** 作原则。在Windows7种，将这个访问 *** 作分为很细，如修改 权限、更改所有者等等十多种访问 *** 作。虽然系统管理员需要花一定的时间去考虑该选择哪些 *** 作或者 进行相关的设置，但是对于系统管理员来说这仍然是一个福音。权限细分意味着管理员选择特定的访问 *** 作之后，就可以得到最少的审核记录。简单的说，“产生的审核记录最少而且可以涵盖用户的安 全需求”这个目标更容易实现。因为在实际工作中，往往只需要对特定的 *** 作进行审计即可。如只 对用户更改文件内容或者访问文件等少部分 *** 作进行审计即可。而不需要对全部 *** 作进行审计。如此产 生的审计记录就会少的多，同时用户的安全需求也得以实现。

二是失败 *** 作优先选择。对于任何 的 *** 作，系统都分为成功与失败两种情况。在大部分情况下，为了收集用户非法访问的信息，只需要让 系统记入失败事件即可。如某个用户，其只能够只读访问某个共享文件。此时管理员就可以给这个文件 设置一个安全访问策略。当用户尝试更改这个文件时将这个信息记入下来。而对于其他的 *** 作，如正常 访问时则不会记录相关的信息。这也可以大幅度的减少安全审计记录。所以笔者建议，一般情况下只要 启用失败事件即可。在其不能够满足需求的情况下，才考虑同时启用成功事件记录。此时一些合法用户 合法访问文件的信息也会被记录下来，此时需要注意的是，安全日志中的内容可能会成倍的增加。在 Windows7 *** 作系统中可以通过刷选的方式来过滤日志的内容，如可以按“失败事件”，让系 统只列出那些失败的记录，以减少系统管理员的阅读量。

三、如何利用蜜糖策略收集非法访问者 的信息

在实际工作中，系统管理员还可以采用一些“蜜糖策略”来收集非法访问者 的信息。什么叫做蜜糖策略呢其实就是在网络上放点蜜糖，吸引一些想偷蜜的蜜蜂，并将他们的信息记 录下来。如可以在网络的共享文件上，设置一些看似比较重要的文件。然后在这些文件上设置审计访问 策略。如此，就可以成功地收集那些不怀好意的非法入侵者。不过这守纪起来的信息，往往不能够作为 证据使用。而只能够作为一种访问的措施。即系统管理员可以通过这种手段来判断企业网络中是否存在 着一些“不安分子”，老是试图访问一些未经授权的文件，或者对某些文件进行越权 *** 作， 如恶意更改或者删除文件等等。知己知彼，才能够购百战百胜。收集了这些信息之后，系统管理员才可 以采取对应的措施。如加强对这个用户的监控，或者检查一下这个用户的主机是否已经成为了别人的肉 鸡等等。总之系统管理员可以利用这种机制来成功识别内部或者外部的非法访问者，以防止他们做出更 加严重的破坏。

四、注意：文件替换并不会影响原有的审计访问策略。

如上图中，有一 个叫做捕获的文件，笔者为其设置了文件级别的安全审计访问，没有在其文件夹“新建文件夹 ”上设置任何的安全审计访问策略。此时，笔者如果将某个相同的文件(文件名相同且没有设置任 何的安全审计访问策略)复制到这个文件夹中，把原先的文件覆盖掉。注意此时将这个没有设置任何的安 全审计访问策略。文件复制过去之后，因为同名会将原先的文件覆盖掉。但是，此时这个安全审计访问 策略的话就转移到新复制过去的那个文件上了。换句话说，现在新的文件有了原来覆盖掉的那个文件的 安全审计访问权限。这是一个很奇怪的现象，笔者也是在无意之中发现。不知道这是Windows7 *** 作系统 的一个漏洞呢，还是其故意这么设置的这有待微软 *** 作系统的开发者来解释了。

除了服务器系统之外，windows7系统的安全性也是非常值得信任的，也正因为它极高的安全防护受到了很多用户的喜爱，拥有着一群广泛的体验用户，究竟是怎样的安全机制来保护着系统呢，让我们去认识一下windows7系统下强大的安全功能吧。

1、Kernel Patch：系统级的安全平台的一个亮点就是kernel patch，它可以阻止对进程列表等核心信息的恶意修改，这种安全保护这只有在 *** 作系统能实现，其他杀毒软件是无法实现的。

2、进程权限控制：低级别的进程不能修改高级别的进程。

3、用户权限控制UAC：将用户从管理员权限级别移开，在缺省条件下用户不再一直使用管理员权限，虽然UAC一直被争议，在使用中笔者也常常感到繁琐，但用户权限控制确实是 *** 作系统的发展趋势，因为用户一直使用管理员权限是非常危险的。

当然，Win7还是有了很大的改善，在Vista下，UAC管理范围很宽，很多应用都碰到UAC提示。而在Win7里，减少了需要UAC提示的 *** 作，强调安全的同时更加注重用户体验

4、审计功能：Win7对审计功能做了很大的优化，简化配置的同时，增加了对特定用户和用户组的管理措施，特殊人物可以特殊对待。

5、安全访问：一台机器上多个防火墙的配置。Win7里面可以同时配置存储多个防火墙配置，随着用户位置的变换，自动切换到不同的防火墙配置里。

6、DNSSec支持：增强了域名解析协议标准，老的DNS是有风险的，因此增加了对DNS增强版DNSSec的支持。

7、NAP网络权限保护：这个是在VISTA中就引入的功能，里继续继承了。可以对电脑进行健康检验。

8、DirectAccess安全无缝的同公司网络连接：远程用户通过难以访问公司资源，IT面临对远程机器管理的挑战。win7系统的解决方案就是DirectAccess，提供了公司内外对公司资源的一致性访问体验。提高远程用户的效率。唯一的局限在于，只能在server2008系统中才能使用。

9、应用程序控制AppLocker：禁止非授权的应用程序在网络运行。对应用程序进行标准化管理，通过Group Policy进行管理。其中一个亮点是规则简单，可以基于厂商的信任认证，比如你把AAA公司设为黑名单，以后所有这个公司的软件产品和程序，都会被拒绝。

10、数据保护BitLocker：保护笔记本丢失后数据安全问题，同时也支持对U盘的加密和保护，优盘是病毒传播的重要途径之一，BitLocker可以对U盘进行加密处理，防止别人对你的优盘进行数据写入。这就阻隔的病毒侵入的风险。

Windows7系统的安全性防护是用户们有目共睹的，正因为有上述介绍的这些强大的安全功能做后盾，windows7系统的用户才可以这么放松，这么没烦恼地畅游网络，放心使用系统。

监控WIN2003文件服务器上的文件夹和文件的复制、删除。比如是哪个域用户复制了或是哪个域用户删除了文件和文件夹。目的：文件服务器里的公共文件夹缺少访问行为监控，误删或故意删除可能会造成数据丢失。文件夹丢失的原因无法查清，可能是误删除，也可能是故意删一文件服务器是公司的域中的一台机,很多情况下,会有多个用户对某一个文件夹进行读写,难免会有 *** 作错误或误删的情况为了保留 *** 作的真实性如果设定记录用户的 *** 作情况,特别是文件及文件夹的删除日志监控WIN2003文件服务器上的文件夹和文件的复制、删除。 比如是哪个域用户复制了或是哪个域用户删除了文件和文件夹。目的：文件服务器里的公共文件夹缺少访问行为监控，误删或故意删除可能会造成数据丢失。文件夹丢失的原因无法查清，可能是误删除，也可能是故意删除。需要进行两个 *** 作。一个是在安全策略里面启用“审核对象访问”，开启这个功能方法是右键选择你需要查看 *** 作日志的文件的属性，选择“安全”--“高级”--"审核"--然后添加一个需要审核的用户，例如everyone--再选择具体的审核项目，例如是审核用户是否运行过这个文件，是否重命名这个文件等等，如果希望审核所有 *** 作，就选择完全控制。最后，再到安全性日志中就可以查看到具体的 *** 作记录。

在“安全日志”中可找到最后删除文件的人。
如果要记录用户对文件服务器的访问 *** 作， *** 作系统必须启用“对象审核策略”，并且针对文件服务器上的对象配置了审核访问控制列表，在满足了这两个前提下，当某个用户对文件服务器上的文件执行读取、修改或删除的 *** 作时，事件是可以记录下来的，这个事件可以通过打开“事件日志查看器”，在“安全”日志中找到。
删除是指将已经不需要了的文件从系统的目录清单中删掉，以腾出磁盘空间给别的 *** 作。在计算机中的大部分“彻底”删除就是将其从列表除名，并可以被其他文件覆写。所以误删后不要乱动，还有希望恢复。

默认情况下，Windows无法正常访问Samba服务器上的共享文件夹。原因在于从Vista开始，微软默认只采用NTLMv2协议的认证回应消息了，而目前的Samba还只支持LM或者NTLM。
解决办法：修改本地安全策略。
1、通过Samba服务可以实现UNIX/Linux主机与Windows主机之间的资源互访，由于实验需要，轻车熟路的在linux下配置了samba服务， *** 作系统是red
hat linux 90，但是在windows7下访问的时候问题就出现了，能够连接到服务器，但是输入密码的时候却给出如图一的提示：
2、在linux下的smbconf配置文件里面的配置完全没有错误，之前安装Windows XP的时候访问也完全正常，仔细查看配置还是正常，如果变动配置文件里面的工作组或者允许IP地址Windows7会出现连接不上的情况，不会出现提示输入用户名和密码。
3、这种情况看来是windows
7的问题，解决的办法是：单击”开始“-“运行”，输入secpolmsc，打开“本地安全策略”，在本地安全策略窗口中依次打开“本地策略”-->“安全选项”，然后再右侧的列表中找到“网络安全：LAN
管理器身份验证级别”，把这个选项的值改为“发送 LM 和 NTLM – 如果已协商，则使用 NTLMv2
会话安全”，最后确定。如图二。
到这里再连接samba服务器，输入密码就可以正常访问samba服务器了。

1、跨域安全访问保障：
沟通安全接入堡垒机方案基于可信路径(TrustedPath)技术、强制访问控制技术、高等级的保障技术，是一种可证明的安全技术。
2、文件安全传输通道：
在移动办公访问相关应用系统的时候,会涉及到把本地的文件传到应用系统中,比如发送邮件的时候,需要带上附件,鉴于安全考虑,必须对上传的文件进行相关的审核,针对这一情况,在低安全域设置一台从文件服务器，在高安全域增加一台主文件服务器,并对文件服务器进行策略设置,使移动办公人员只能看到自己的文件夹，沟通安全接入堡垒机仅调用高安全域的主文件服务器。
3、访问控制：
基于角色、权限分配，设置细粒度访问控制策略，达到非法用户不能访问，合法用户不能越权访问的目的。

NTFS权限跟着走
命令
robocopy d:\work e:\back /e /copyall
[参数讲解]
/copyall等于/copy:datsou，表示将所有源文件夹的信息复制到目标文件夹中，其中D：文件数据，
A：文件属性，T：时间信息，S：权限信息，O：所有者信息，U：审核信息。
/e表示复制所有子目录包括空文件夹

盘古审核系统是一种用于网络内容审核和管理的技术系统，它可以对互联网上的各种信息和内容进行全面的监控和筛查，以确保网络安全和信息合规。盘古审核系统保管是指将该系统的数据和信息存储在专门的服务器或云存储平台上，以保障数据的安全性和可靠性。
具体来说，盘古审核系统保管的工作包括以下几个方面：
1 数据存储和备份。盘古审核系统会将处理过的数据和信息存储在专门的服务器或云存储平台上，以备份和恢复数据，并且定期进行数据清理和归档。
2 数据加密和安全性保障。盘古审核系统会对存储在服务器上的数据进行加密和安全性保障，以防止数据泄露和被非法访问。
3 系统监控和维护。盘古审核系统会对服务器和系统进行监控和维护，以确保系统的稳定性和可靠性，避免因系统故障而影响数据处理和审核工作。
需要注意的是，盘古审核系统保管的工作需要专业的技术人员和设备来进行 *** 作和管理，以确保数据的安全和可靠性。同时，盘古审核系统也需要遵循相关的法律法规和行业标准，以保证数据的合规性和规范性。

---