安全相关的事件

本小节介绍与安全相关的所有类型的事件以及管理员为了维护安全而采取的操作（如果有的话）。必须充分定义在操作 Windows 2000 的过程中可能发生的与安全相关的事件，以便允许管理员通过干预手段维护安全操作。与安全相关的事件被定义为表示系统或环境中有关安全性改变的事件。这些更改可以分成常规事件或异常事件。常规事件已经在“安全功能”小节提出。例如，当新员工加入企业组织时，管理员将设置一个新帐户。异常事件是指那些不定期发生或者是由于达到了管理员设置的限制而产生的事件。与安全相关的事件基于安全功能。

审核线索溢出

事件说明：审核日志已经达到了其最大容量，原因是 (1) 达到预定义的最大日志大小，或者 (2) 磁盘空间不足。

安全影响：审核信息无法记录在安全日志中。因此，重要的审核信息可能会永久丢失。

必需的操作：

1. 将审核日志归档。
2. 清除审核日志。
3. 重新检查最大日志大小要求，确保它适于当前的操作并进行必需的纠正。
4. 检查审核要求，确保只收集相关的审核信息。
5. 检查审核维护步骤并对其进行必要调整，确保在不造成系统停机或丢失审核数据的情况下，审核归档的频率足以满足要求。
6. 根据对任务的影响，考虑将注册表设置为在审核日志变满时使系统挂起。这将防止在没有审核的情况下对系统执行进一步的活动，但是，如果没有定期执行审核维护，则它可能影响操作。
7. 检查磁盘空间要求，并通过扩展磁盘卷、将日志文件重定位到较大的磁盘或分区中或者将磁盘替换为容量较大的磁盘来进行必要的调整。

注意   事件日志的归档步骤在“归档事件日志”小节中提供。事件日志文件的重定位步骤在“更改默认的‘事件查看器’日志文件位置”小节中提供。

根据审核线索查看是否有可疑的恶意或违法活动（使用审核归档和筛选功能）

事件说明：对已知用户或未知实体进行的恶意或违法活动的怀疑。

安全影响：风险的含义取决于可疑活动的类型，切记，通过进一步调查可发现该活动的基本意图，并提高或降低预期的风险级别。可疑的活动包括：试图猜测或强力破解帐户密码、尝试进行未经授权或可疑的对象访问、异常的登录时间、在用户不应当登录时执行的帐户活动、意外的文件修改或数据丢失等。

必需的操作：

1. 首先，咨询安全管理员。
2. 一旦发现可疑帐户，使用“安全日志属性”小程序中的事件查看器筛选工具，通过日志筛选针对该帐户捕获到的所有事件活动。

   注意   详细的说明在“审核管理”小节（筛选安全日志）中提供。

3. 根据安全管理员的建议禁用该帐户（如果被授权的话）。

   注意   帐户的禁用步骤在“禁用和启用用户帐户”小节中提供。

4. 在归档的审核日志中检查可疑帐户以前执行的任何活动。
5. 如果不知道可疑帐户，但怀疑数据篡改，请审核 Everyone 组，检查它是否能够访问所有对象或怀疑作为篡改目标的对象类型。监视审核日志，确定是否发生篡改以及篡改者。

   注意   对象访问的审核步骤和建议在“启用对象审核”小节中提供。

用户帐户因超出失败登录尝试次数而被禁用

事件说明：用户帐户已经由于超出设置可允许的失败登录尝试次数而被锁定。

安全影响：锁定的帐户阻止用户完成必要的任务。该事件可能是由于尝试猜测用户帐户的密码而导致的。

必需的操作：

1. 咨询帐户所有者，验证帐户锁定是否由于其尝试登录而导致的。
2. 如果该用户忘了其密码，请设置一个新的默认密码，该用户在登录时必须立即更改该密码。取消对该帐户的锁定以允许该用户登录。

   注意   用户帐户的取消锁定步骤在“配置帐户锁定策略”小节中提供。

3. 如果验证帐户锁定不是由于用户（帐户所有者）操作而导致的，则表明可能有威胁企图。不要取消对帐户的锁定，直到在检查审核日志后确定是否有其他可能相关的可疑活动。这包括在一个相同的时间段内，以前针对同一个帐户的企图和针对其他用户帐户的失败登录企图。确保检查在登录成功之前针对同一个帐户进行的任何连续失败的登录企图。这可能表明入侵者成功获取了用户访问权限。检查该登录类型的登录事件记录，确定这些企图是在本地还是通过网络进行的，并确定有关来源（域名、计算机名等）的可能线索。务必咨询安全管理员并在整个过程中在安全管理员的指导下执行操作。只有经过安全管理员的批准，才能取消对帐户的锁定。

临时的用户帐户是必需的（如为了支持承包人）

事件说明：帐户对于要求临时和一定程度访问网络资源的用户是必需的。这些用户可以是承包人，也可以只是来自本地组织的另一部分的人员，他们需要临时访问他们通常未被授权的资源。

安全影响：可能造成未经授权的访问。如果未正确地评估和实施访问要求，则临时用户可能获取对他们未被授权的资源的访问权限，或者可能会在规定的时间段以外仍能访问资源。

必需的操作：

1. 咨询资源所有者，确定临时用户的资源访问要求。
2. 咨询安全管理员，确保已经正确地取消了临时用户的访问权限。
3. 为所需的各种类型的临时访问创建用户组，并为临时帐户分配执行必要任务所需的最小特权。

   注意   创建组帐户和分配适当权限的步骤在“创建和维护用户和组帐户”和“配置用户权限”小节中提供。

4. 对供组成员访问的资源设置权限，以便只允许临时帐户使用最小访问权限来执行必要的任务。例如，他们可能只需对某些文档进行读取访问，而不能写入或删除。

   注意   资源的权限设置步骤在“在 Windows 2000 中针对文件、文件夹、共享位置和其他系统对象设置访问控制”小节中提供。

5. 审核临时帐户组的活动。

   注意   活动的审核步骤在“本地策略”小节（配置审核策略）中提供。

6. 创建临时帐户。将它们的初始密码设置为在首次登录时失效并要求用户创建新密码。

   注意   帐户的创建步骤和密码选项的设置步骤在“用户帐户”小节中提供。

7. 在数据所有者、管理人员和安全管理员确定后，对临时帐户设置登录时间限制。

   注意   登录时间限制的设置步骤在“配置登录时间”小节中提供。

8. 在数据所有者、管理人员和安全管理员确定后，对所有的临时帐户设置足以满足这些帐户需要的失效日期。

   注意   帐户失效日期的设置步骤在“设置帐户失效日期”小节中提供。

已提供与安全相关的 Service Pack 或热修补程序更新

事件说明：Microsoft 已提供用来解决安全问题的最新 Service Pack 或热修补程序。

安全影响：根据系统的使用方式、系统在网络上的位置以及系统所支持的应用程序，安全修补程序可以解决应当立即纠正的严重问题。另一方面，安全修补程序可能会对所使用的应用程序造成不利影响，因此，应当在将其应用到操作环境中之前对其进行彻底的评估。

必需的操作：

1. 检查安全更新说明，首先确定它们是否与当前的操作相关以及对当前操作的重要程度。
2. 如果认为安全更新对于当前的操作安全至关重要，请在实施操作之前制定更新程序测试过程。这可以通过在临时区域内测试更新程序来完成。临时区域应当由隔离的实验室环境组成，该环境应当具有足以有效地模拟本地系统的资源。这样做的目的在于，在实施建议的安全更新之前发现和减少与它相关的任何不兼容之处，从而尽量减少给运行网络中的操作、服务、用户或数据带来的任何风险。
3. 在测试和验证之后，应用批准的安全更新。

   注意   Service Pack 和热修补程序的应用步骤在《Windows 2000 安全配置指南》中提供。

4. 在配置控制记录中记录所有的系统更改，并更新系统生成规范以包括对安全更新的实施。

用户加入组织的其他部门后需要更改访问权限

事件说明：用户加入组织的其他部门，需要更改帐户特权、对象访问权限、组成员资格和/或域成员资格。

安全影响：如果某个用户的职责范围发生更改，则可能需要更改其访问权限。否则，该用户可能仍能够访问其责任范围之外的资源。

必需的操作：

1. 与部门经理和安全管理员一起审查该用户的新访问要求，以制定网络服务和资源要求。
2. 如果该用户加入了其他网络域，请从当前域中删除该帐户并在新域中创建一个新帐户。这可能涉及到由不同的管理员来完成。
3. 如果更改发生在同一个域中，请从该用户不再需要的任何组帐户中删除该用户。
4. 为该用户指定相应的组并提供对必需的资源的访问权限。
5. 删除不需要的特权并指定任何必需的新特权集。通常，这最好通过组成员资格来完成。
6. 为该用户设置新密码。将其设置为要求用户在下次登录时更改密码。这将强制用户将密码更改为其自己的密码。

注意   上述所有建议操作的步骤在“创建和维护用户和组帐户”小节中提供。

用户离开组织

事件说明：用户离开组织且不再需要访问网络资源。

安全影响：可能造成未经授权的访问。如果未迅速正确地删除该用户的访问授权，则员工在离开组织之后其用户帐户可能仍然能够访问网络资源。

必需的操作：

1. 验证该用户未加密任何重要文件或目录。如果进行了加密，请在删除该用户帐户之前确保可对这些数据进行解密。
2. 检查可能只为该用户设置权限的任何资源，并根据需要更改权限。
3. 在由相关的部门经理和安全管理员验证之后，删除该用户帐户。

用户忘记密码

事件说明：用户忘记了自己的帐户密码。

安全影响：该用户不能登录、无法获取必需的资源访问权限并且无法执行必要的任务。

必需的操作：

1. 首先验证该用户的访问是否经过授权。这是为了确保该请求不是社会工程设计企图。
2. 为该用户设置一个新密码。将其设置为要求用户在下次登录时更改密码。这将强制用户将密码更改为其自己的密码。

注意   密码选项的设置步骤在“用户帐户”小节中提供。

恢复用户加密的文件

事件说明：用户无法访问其加密的信息，或者在离开组织时未解密组织所需的数据。

安全影响：组织可能无法访问有价值的信息。

必需的操作：

1. 如果用户无法对以前加密的数据进行解密，或者如果员工突然离开组织，则恢复代理（被指定为恢复加密文件的用户）可以使用恢复策略来恢复计算机上的加密文件。恢复策略位于“计算机管理”控制台的“组策略”管理单元中，如果恢复策略不存在，则 EFS 将不工作；因此，清空 Encrypted Data Recovery Agents 文件夹将禁用 EFS。Windows 2000 Professional 为所有的独立计算机在本地创建一个默认的恢复策略，本地管理员就是恢复代理。
2. 为了恢复加密文件，恢复代理必须登录这些文件所在的计算机并对它们进行解密。
3. 如果用户不能访问证书和私钥，则他/她必须依赖另一个恢复代理。用户使用“备份”或类似的备份实用程序来备份加密文件。然后，他们将备份文件以电子邮件形式发送给恢复代理，于是恢复代理使用自己的恢复证书对这些文件进行解密，并以电子邮件形式将这些文件发回给用户。
4. 为了保护恢复证书及其相关的私钥，恢复代理应当按上小节介绍的方法，在将恢复证书导出到备份文件之后，从“证书管理器”中删除恢复证书。这样做可以防止其他人获取对恢复证书和私钥的访问权限。恢复代理可以确定要删除的证书，这是因为“证书管理器”将“文件恢复”作为它的预期用途。在将恢复证书导出到 PFX 文件之后，他们可以从“证书管理器”中删除它；这可以确保导出的 PFX 文件中包含私钥的唯一副本。他们应当将该 PFX 文件放在安全的位置，并且只在必须恢复计算机上的加密文件时才将该文件导入到“证书管理器”中。
5. 在 Windows 2000 域中，服务器管理员可以在域级、组织单元级或计算机级创建恢复策略。在本例中，默认恢复代理是域管理员。域管理员应当通过以下方法来保护恢复证书及相关的私钥：将它导出然后从“证书管理器”中删除它。然后应当将导出的 PFX 文件存储在安全的位置。同样，在 Windows 2000 域中，管理员可以创建其他恢复证书并将某些用户指定为恢复代理。

时间错误

事件说明：计算机的时间与当前的时间不一致。这可以由许多问题导致，如：计算机移到初始时区以外的位置；系统 BIOS 未保留时间；夏令时已经生效，但尚未对计算机进行调整；计算机的时间是从时间不正确的源获取的。

安全影响：受影响的系统上的审核记录将不反映事件的实际发生时间。

必需的操作：

1. 检查 BIOS 电池，确保它带电。如果它不带电，请更换电池并在计算机上设置正确的时间。
2. 如果问题是由于时区变化引起的，请在计算机上设置正确的时区并将时间重新设置为正确的时区设置。
3. 在“日期/时间属性”小程序中，单击“时区”选项卡，并确保“自动按夏时制调整时间”处于选中状态。

注意   “日期/时间属性”小程序的访问步骤在“设置日期和时间”小节中提供。

1. 将计算机设置为从可靠的时间服务器获取其时间。

达到配额限制

事件说明：管理员得到关于用户达到其配额限制的警告。

安全影响：如果选中了“拒绝将磁盘空间给超过配额限制的用户”选项，则该用户将收到一条“磁盘空间不足”消息，并且将无法继续向磁盘中写入数据。这将不允许该用户存储与工作相关的信息，从而导致针对该用户出现拒绝服务（存储）情况。

必需的操作：

1. 咨询该用户并检查其磁盘空间要求。
2. 让该用户删除不必要的文件或将它们移到备份位置。
3. 或者，增加用户的磁盘配额（如果确信没有问题的话）。

注意   上述所有建议操作的步骤在“管理磁盘配额”小节中提供。

有必要撤销用户对对象和/或其特权的访问权限

事件说明：有必要立即撤销用户的安全属性并撤销用户的对象访问权限。

安全影响：由于职责和访问要求发生变化或者因为误用问题，可能有必要撤销某个用户对某些对象的访问权限和/或删除该用户的某些特权。如果用户能够继续访问，则他/她可能访问未经授权的数据或者可能因误用而造成风险。另外，用户可能执行他/她不再被授权或信任的特权操作。

必需的操作：

1. 检查相关对象的权限，并根据需要删除或更改该用户的访问权限。
2. 检查该用户的组成员资格并从任何向用户提供不再需要的特权的组中删除该用户。
3. 检查“用户权利指派”策略，并确保没有为该用户专门授予不需要的特权。
4. 强制该用户通过注销网络来重新向网络验证身份。

注意   如果只是终止某个用户的活动会话（如“断开用户与共享或活动会话的连接”小节中所述），则将断开用户的连接，但是，该用户将仍能够重新建立会话。为了避免这种情况，有必要从本地计算机上注销该用户。

1.   外部安全措施

Windows 2000 ST 中描述的 Windows 2000 评估配置的安全环境不包括该环境的任何要求。因此，Windows 2000 的安全操作并不取决于由该环境满足的任何要求。第三章描述了有关环境方面的假设。

2.   首字母缩写词

3.   参考资料

• Microsoft Operations Framework White Paper: Security Administration（Microsoft 操作框架白皮书：安全管理），2000 年 5 月出版
• Microsoft Solutions Framework-Best Practices for Enterprise Security: Authentication for Administrative Authority（Microsoft 解决方案框架 - 企业安全最佳做法：管理授权的身份验证），2000 年 6 月出版
• Microsoft Solutions Framework-Best Practices for Enterprise Security: Data Security and Data Availability for End Systems（Microsoft 解决方案框架 - 企业安全最佳做法：终端系统的数据安全和数据可用性），2000 年 6 月出版
• Microsoft Solutions Framework-Best Practices for Enterprise Security: Monitoring and Auditing for End Systems（Microsoft 解决方案框架 - 企业安全最佳做法：监视和审核终端系统），2000 年 6 月<0）
• Windows NT Auditing Test Plan; Core Auditing Infrastructure (Microsoft Confidential)（Windows NT 审核测试计划；核心审核基础结构（Microsoft 机密文件）），1.0 版，2000 年 2 月 7 日
• MSDN Online Library: Platform SDK Documentation: Policy Management: POLICY_AUDIT_EVENT_TYPE（MSDN Online Library：平台 SDK 文档：策略管理：POLICY_AUDIT_EVENT_TYPE）
• Microsoft Knowledge Base Article Q163905: Auditing User Right Assignment Changes（Microsoft 知识库文章 Q163905：审核用户权利分配更改）
• Microsoft Knowledge Base Article Q232714: How to Enable Auditing of Directory Service Access（Microsoft 知识库文章 Q232714：如何启用对目录服务访问的审核）
• Microsoft Knowledge Base Article Q173939: How to Identify the User Who Changed the Administrator Password（Microsoft 知识库文章 Q173939：如何标识已更改管理员密码的用户）
• Microsoft Knowledge Base Article Q221930: Domain Security Policy in Windows 2000（Microsoft 知识库文章 CHS221930：Windows 2000 中的域安全性策略）
• Microsoft Knowledge Base Article Q224013: XADM: How to Change the Default Replication Time for the Active Directory Connector（Microsoft 知识库文章 Q224013：XADM：如何更改 Active Directory 连接器的默认复制时间）
• Windows 2000 Server Deployment Guide（Windows 2000 服务器部署指南），Microsoft 出版社
• Introducing Microsoft Windows 2000 Professional（Microsoft Windows 2000 Professional 简介），Microsoft 出版社
• Strongest Local and Network Security（最强的本地安全和网络安全），Microsoft TechNet
• Windows 2000 Server Resource Kit: Distributed Systems Guide（Windows 2000 Server Resource Kit：分布式系统指南），Microsoft 出版社
• Windows 2000 Security Technical Reference（Windows 2000 安全性技术参考），Microsoft 出版社
• Self-Paced MCSE Training Kit: Microsoft Windows 2000 Server（MCSE 自学培训工具包：Microsoft Windows 2000 Server），Microsoft 出版社
• Microsoft TechNet: Securing Windows 2000 Network Resources（Microsoft TechNet：保护 Windows 2000 网络资源安全）
• Microsoft TechNet: Encrypting File System for Windows 2000（Microsoft TechNet：加密 Windows 2000 文件系统）
• Microsoft TechNet: Step-by-Step Guide to Configuring Enterprise Security Policies（Microsoft TechNet：企业安全策略配置的分步指南）
• Microsoft TechNet: Step-by-Step Guide to Encrypting File System (EFS)（Microsoft TechNet：加密文件系统 (EFS) 的分步指南）
• Microsoft TechNet: Step-by-Step Guide to Internet Protocol Security (IPSec)（Microsoft TechNet：Internet 协议安全 (IPSec) 的分步指南）
• Microsoft TechNet: Creating User and Group Accounts in Windows 2000（Microsoft TechNet：在 Windows 2000 中创建用户帐户和组帐户）
• Microsoft TechNet: Security Planning（Microsoft TechNet：安全规划）
• Microsoft TechNet: Ask the Windows 2000 Dev Team (password filter)（Microsoft TechNet：咨询 Windows 2000 开发小组（密码筛选））
• Microsoft TechNet: User Settings and Wrap-Up（Microsoft TechNet：用户设置和部署）
• Microsoft TechNet: Administering Shared Folders（Microsoft TechNet：管理共享文件夹）
• Microsoft Windows 2000 Advanced Server Documentation: Disk Quota Overview（Microsoft Windows 2000 Advanced Server 文档：磁盘配额概述）
• Microsoft Windows 2000 Advanced Server Documentation: Introduction to User Rights（Microsoft Windows 2000 Advanced Server 文档：用户权利简介）
• Microsoft Windows 2000 Advanced Server Documentation: Active Directory - Configure Replication（Microsoft Windows 2000 Advanced Server 文档：Active Directory - 配置复制功能）
• Windows 2000 Resource Kit: Active Directory Replication - Replication Topology（Windows 2000 资源工具包：Active Directory 复制 - 复制拓扑）
• How to Change the Default Event Viewer Log File Location（如何更改默认的“事件查看器”日志文件位置）
• Microsoft Knowledge Base Article - Q309682（Microsoft 知识库文章 - CHS309682）HOW TO: Set up a One-Way Non-Transitive Trust in Windows 2000（HOW TO：在 Windows 2000 中建立单向不可传递信任关系）
• Microsoft Windows 2000 Professional 文档