¿Windows 7 tiene capacidades de auditoría de seguridad?

Win7 ha optimizado en gran medida la función de auditoría, al tiempo que simplifica la configuración, también ha agregado medidas de administración para usuarios y grupos de usuarios específicos, de modo que las personas especiales puedan recibir un trato especial.

Cuando una carpeta se configura como un archivo compartido, puede utilizar la función de auditoría de acceso del sistema operativo para permitir que el sistema registre información relacionada con el acceso a este archivo compartido. Esta función se puede implementar en versiones de sistemas operativos anteriores a Windows 7. La auditoría de seguridad en este momento se encuentra en el nivel de disfrute. *** Comparta un punto de entrada a un servidor de archivos para permitir a los usuarios acceder a directorios específicos en el servidor de archivos. Tenga en cuenta que el nivel exclusivo de auditoría de seguridad no puede auditar el acceso a archivos, es decir, el acceso de auditoría de seguridad a nivel de archivo. En otras palabras, sólo es necesario configurar el acceso al archivo de auditoría para un único archivo. Esto no se puede lograr en sistemas de archivos más antiguos como FAT32. Sólo pueden configurar la auditoría de acceso para todo el archivo, pero no para archivos específicos.

1. Establezca una auditoría de seguridad a nivel de archivo o a nivel de recurso compartido.

La seguridad de nivel compartido solo puede configurar una auditoría de seguridad en la carpeta, por lo que es flexible. Relativamente malo. Para la auditoría de seguridad a nivel de archivos, la auditoría se puede configurar en un servidor, directorio o archivo específico. Por lo tanto, los administradores de sistemas tienen una flexibilidad relativamente alta y pueden implementar auditorías de seguridad en lugares apropiados según las necesidades de tiempo. Por ejemplo, la capacidad de auditar particiones NTFS permite a los administradores del sistema estar informados sobre quién accede o intenta acceder a directorios específicos. En las redes Windows, auditar el acceso a algunos recursos clave de la red es un método común para mejorar la seguridad de la red y la seguridad de los datos corporativos se puede utilizar para determinar si alguien está intentando acceder a información restringida.

¿A qué nivel es más beneficioso configurar una auditoría de seguridad? Esto depende principalmente de las necesidades del usuario. Por ejemplo, en una carpeta hay cientos de archivos. De hecho, los más confidenciales pueden ser cinco o seis documentos. En este momento, si se implementa la auditoría de acceso de seguridad a nivel de carpeta, habrá muchos registros de auditoría en el registro de seguridad. En este momento, será muy incómodo de ver y, a veces, los registros útiles serán bloqueados por registros inútiles. Por esta razón, si hay muchos archivos o subcarpetas en una carpeta y solo unos pocos archivos con requisitos de auditoría, obviamente es más apropiado configurar "auditar acceso a archivos" a nivel de archivo (es decir, para archivos específicos). . Esto puede reducir la carga de trabajo de mantenimiento posterior del administrador del sistema. Por el contrario, en los archivos compartidos, hay una carpeta específica dedicada a colocar algunos archivos confidenciales. En este momento, es más razonable implementar una auditoría de seguridad a nivel de carpeta. Se puede observar que no existe un estándar fijo a qué nivel implementar políticas de auditoría de seguridad. Esto depende principalmente de las necesidades del usuario. Si debe dar un estándar de referencia específico, puede elegir en función de los siguientes criterios, es decir, en qué nivel se generan la menor cantidad de registros de auditoría y se pueden cubrir las necesidades de seguridad del usuario, en ese nivel se debe establecer la auditoría de acceso de seguridad. En pocas palabras, se cumplen dos condiciones al mismo tiempo. En primer lugar, los registros de auditoría generados son mínimos y fáciles de leer; en segundo lugar, deben satisfacer las necesidades de seguridad de los usuarios. A menudo las dos condiciones son contradictorias y los administradores de sistemas necesitan lograr un equilibrio entre ellas.

2. ¿Qué tipo de estrategia de auditoría de seguridad se debe seleccionar?

En la estrategia de auditoría de acceso a archivos, puede elegir una variedad de estrategias de auditoría de seguridad según sea necesario, es decir, puede decirle al sistema operativo qué sucede y cuándo Qué operaciones registrarán la información de acceso en el registro de seguridad, incluida la persona de acceso, la computadora del visitante, la hora de acceso, qué operaciones se realizaron, etc. Si todas las operaciones de acceso se registran en el registro, la capacidad del registro será muy grande, lo que dificultará su mantenimiento y administración en el futuro. Por este motivo, cuando los administradores del sistema establecen políticas de acceso a archivos de auditoría, a menudo necesitan seleccionar algunos eventos específicos para reducir la capacidad del registro de acceso de seguridad. Para lograr este objetivo, los administradores del sistema pueden consultar las siguientes sugerencias.

El primero es el principio de operaciones de mínimo acceso.

En Windows 7, esta operación de acceso se divide en detalles muy finos, como modificar permisos, cambiar propietarios y más de diez tipos de operaciones de acceso. Aunque los administradores de sistemas necesitan dedicar algo de tiempo a pensar qué operaciones elegir o realizar configuraciones relacionadas, esto sigue siendo una buena noticia para los administradores de sistemas. La segmentación de permisos significa que los administradores pueden seleccionar acciones de acceso específicas con un seguimiento de auditoría mínimo. En pocas palabras, el objetivo de "generar la menor cantidad de registros de auditoría y cubrir las necesidades de seguridad del usuario" es más fácil de lograr. Porque en el trabajo real, a menudo sólo es necesario auditar operaciones específicas. Por ejemplo, sólo se puede auditar una pequeña cantidad de operaciones, como por ejemplo que los usuarios cambien el contenido de un archivo o accedan a él. No es necesario auditar todas las operaciones. Los registros de auditoría generados de esta manera serán mucho menores y también se podrán satisfacer las necesidades de seguridad del usuario.

La segunda es la prioridad para operaciones fallidas. Para cualquier operación, el sistema se divide en dos situaciones: éxito y fracaso. En la mayoría de los casos, para recopilar información sobre el acceso ilegal de los usuarios, solo es necesario dejar que el sistema registre un evento de falla. Por ejemplo, un usuario sólo puede tener acceso de sólo lectura a un determinado archivo compartido. En este momento, el administrador puede establecer una política de acceso de seguridad para este archivo. Esta información se registra cuando el usuario intenta cambiar este archivo. Para otras operaciones, como el acceso normal, no se registrará información relevante. Esto también puede reducir significativamente los registros de auditorías de seguridad. Por lo tanto, el autor recomienda que, en circunstancias normales, simplemente habilite el evento de falla. Solo considere habilitar el registro de eventos exitoso al mismo tiempo si no puede satisfacer las necesidades. En este momento, también se registrará la información del acceso legal de algunos usuarios legales a los archivos. Cabe señalar que el contenido del registro de seguridad puede aumentar exponencialmente. En el sistema operativo Windows 7, puede filtrar el contenido del registro por selección de pincel. Por ejemplo, puede hacer clic en "Eventos de falla" para que el sistema enumere solo aquellos registros fallidos para reducir la cantidad de lectura para el administrador del sistema.

3. ¿Cómo utilizar estrategias de miel para recopilar información sobre visitantes ilegales?

En el trabajo real, los administradores del sistema también pueden utilizar algunas "estrategias de miel" para recopilar información de visitantes ilegales. ¿Cuál es la estrategia de la miel? En realidad, consiste en publicar algo de miel en Internet, atraer algunas abejas que quieran robar miel y registrar su información. Por ejemplo, puede configurar algunos archivos aparentemente importantes en un archivo compartido en la red. Luego, establezca políticas de acceso de auditoría para estos archivos. De esta manera se puede capturar con éxito a intrusos ilegales con malas intenciones. Sin embargo, esta información observadora a menudo no puede utilizarse como prueba. Sólo se puede utilizar como medida de acceso. Es decir, los administradores del sistema pueden utilizar este método para determinar si hay algunos "elementos incómodos" en la red corporativa, que siempre intentan acceder a algunos archivos no autorizados o realizar operaciones no autorizadas en ciertos archivos, como cambiar o eliminar archivos maliciosamente, etc. . esperar. Sólo conociéndose a sí mismo y al enemigo podrá salir victorioso en cada batalla. Después de recopilar esta información, el administrador del sistema puede tomar las medidas correspondientes. Por ejemplo, fortalecer el monitoreo de este usuario o verificar si el host de este usuario se ha convertido en el asador de otra persona, etc. En resumen, los administradores del sistema pueden utilizar este mecanismo para identificar con éxito a los visitantes ilegales internos o externos y evitar que causen daños más graves.

4. Nota: El reemplazo de archivos no afectará la política de acceso de auditoría original.

Como se muestra en la imagen de arriba, hay un archivo de imagen llamado Captura. El autor ha configurado acceso de auditoría de seguridad a nivel de archivo y no ha establecido ninguna política de acceso de auditoría de seguridad en su carpeta "Nueva carpeta". ". En este momento, si el autor copia el mismo archivo (con el mismo nombre de archivo y sin una política de acceso de auditoría de seguridad establecida) en esta carpeta, se sobrescribirá el archivo original. Tenga en cuenta que no hay ninguna política de acceso de auditoría de seguridad establecida en este momento. Después de copiar el archivo, el archivo original se sobrescribirá porque tiene el mismo nombre. Sin embargo, en este momento, la política de acceso de la auditoría de seguridad se transferirá al archivo recién copiado. En otras palabras, el nuevo archivo ahora tiene los derechos de acceso a la auditoría de seguridad del archivo original sobrescrito. Este es un fenómeno muy extraño y lo descubrí accidentalmente.

No sé si esto es una vulnerabilidad en el sistema operativo Windows 7 o si está configurado de esta manera intencionalmente. Esto debe ser explicado por los desarrolladores del sistema operativo Microsoft.

Además del sistema de servidor, la seguridad del sistema Windows 7 también es muy confiable. Es precisamente por su protección de seguridad extremadamente alta que es amado por muchos usuarios y tiene una amplia gama de experiencia. usuarios. ¿Qué tipo de mecanismo de seguridad protege el sistema? Conozcamos las poderosas características de seguridad del sistema Windows 7.

1. Parche del kernel: un punto destacado de la plataforma de seguridad a nivel del sistema es el parche del kernel, que puede evitar modificaciones maliciosas a la información central, como las listas de procesos. Este tipo de protección de seguridad solo se puede lograr en el. sistema operativo Otros El software antivirus no puede hacer esto.

2. Control de permisos de procesos: los procesos de bajo nivel no pueden modificar los procesos de alto nivel.

3. Control de autoridad del usuario UAC: elimina a los usuarios del nivel de autoridad de administrador. De forma predeterminada, los usuarios ya no siempre usan la autoridad de administrador. Aunque UAC siempre ha sido controvertido, el autor lo usa a menudo. El control de los derechos de usuario es de hecho una tendencia de desarrollo de los sistemas operativos, porque es muy peligroso para los usuarios utilizar siempre derechos de administrador.

Por supuesto, Win7 ha mejorado enormemente. En Vista, el alcance de la administración de UAC es muy amplio y muchas aplicaciones encuentran indicaciones de UAC. En Win7, las operaciones que requieren indicaciones de UAC se reducen, enfatizando la seguridad y prestando más atención a la experiencia del usuario.

4 Función de auditoría: Win7 ha optimizado en gran medida la función de auditoría, simplificando la configuración y aumentando para implementar medidas de administración. para usuarios y grupos de usuarios específicos, las personas especiales pueden recibir un trato especial.

5. Acceso seguro: Configuración de múltiples firewalls en una máquina. Win7 puede configurar y almacenar múltiples configuraciones de firewall al mismo tiempo y cambiar automáticamente a diferentes configuraciones de firewall a medida que cambia la ubicación del usuario.

6. Compatibilidad con DNSSec: el estándar del protocolo de resolución de nombres de dominio se ha mejorado. El antiguo DNS es riesgoso, por lo que se ha agregado compatibilidad con la versión mejorada de DNS de DNSSec.

7. Protección de permisos de red NAP: Esta es una función introducida en VISTA y continúa heredándose. Puede realizar un control de estado en la computadora.

8. Conexión segura y fluida de DirectAccess a la red de la empresa: es difícil para los usuarios remotos acceder a los recursos de la empresa a través de VPN, y TI enfrenta el desafío de la administración remota de máquinas. La solución para el sistema win7 es DirectAccess, que proporciona una experiencia de acceso consistente a los recursos de la empresa dentro y fuera de la empresa. Mejore la productividad de los usuarios remotos. La única limitación es que sólo se puede utilizar en sistemas server2008.

9. Control de aplicaciones AppLocker: prohíbe la ejecución de aplicaciones no autorizadas en la red. Estandarice la gestión de aplicaciones y adminístrelas a través de Política de grupo. Uno de los aspectos más destacados es que las reglas son simples y pueden basarse en la autenticación de confianza del fabricante. Por ejemplo, si establece una empresa AAA en la lista negra, todos los productos y programas de software futuros de esta empresa serán rechazados.

10. Protección de datos BitLocker: protege los problemas de seguridad de los datos después de que se pierde la computadora portátil. También admite el cifrado y la protección de los discos U. Los discos U son una de las formas importantes para que BitLocker pueda cifrar los discos U. , para evitar que otras personas escriban datos en su unidad flash USB. Esto bloquea el riesgo de intrusión de virus.

La protección de seguridad del sistema Windows 7 es obvia para los usuarios. Es precisamente gracias a las poderosas funciones de seguridad presentadas anteriormente que los usuarios del sistema Windows 7 pueden navegar por Internet de manera relajada y sin preocupaciones. libremente y utilizar el sistema con confianza.