30、活动目录安全审计策略的实施与管理

活动目录安全审计策略的实施与管理

1. 审计策略概述

在网络环境中，控制安全的一个重要方面是确保只有授权用户能够访问特定资源。尽管系统管理员通常会花费大量时间管理安全权限，但安全问题仍可能出现。有时，发现潜在安全漏洞的最佳方法是记录特定用户的操作。当发生安全漏洞（例如未经授权关闭服务器）时，系统管理员可以查看日志以找出问题的原因。Windows 2000 操作系统和活动目录提供了对广泛操作进行审计的功能。

审计是指记录特定操作的行为。从安全角度来看，审计用于检测任何可能的网络资源滥用情况。虽然审计不一定能防止资源滥用，但它有助于确定安全违规行为何时发生（或尝试发生）。此外，其他人知道你实施了审计这一事实可能会阻止他们试图绕过安全措施。

要使用 Windows 2000 实施审计，需要完成以下几个步骤：
- 配置审计日志的大小和存储设置。
- 启用要审计的事件类别。
- 指定应在审计日志中记录哪些对象和操作。

实施审计也存在一些权衡。首先，记录审计信息会消耗系统资源，这可能会降低整体系统性能并占用宝贵的磁盘空间。其次，审计过多事件会使审计日志难以查看。如果提供的细节过多，系统管理员不太可能仔细检查所有记录的事件。因此，应始终确保在提供的审计细节级别和这些设置对性能管理的影响之间找到平衡。

2. 审计类别

审计并非是全有或全无的过程。系统管理员必须具体选择要审计的对象和操作。主要的审计类别包括：
- 审计账户登录事件
- 审计账户管理
- 审计目录服务访问
- 审计登录事件
- 审计对象访问
- 审计策略更改
- 审计特权