巧用Windows2008審核 自動監控網絡共享變化
原創為了方便局域網用戶訪問,不少單位往往會將重要的數據信息上傳到類似Windows Server 2008系統的服務器中,并將這些數據信息設置成共享狀態發布出去,任何上網用戶都能憑借共享訪問賬戶自由訪問重要數據信息。然而,也有一些不安好心的訪問用戶,在共享訪問重要數據信息的過程中,隨意更改、刪除單位發布的重要信息,容易造成其他人員無法獲取準確的數據內容;那么我們能否找到一種合適的辦法,來自動監控Windows Server 2008服務器系統中的共享內容變化情況,一旦發現共享內容被更改、刪除時,我們就能自動收到報警提示呢?其實很簡單,我們只要用好Windows Server 2008服務器系統中的審核功能,就能對其中的共享內容變化情況進行輕松自動監控了!
巧用Windows2008審核之自動監控思路
審核功能雖然不是Windows Server 2008服務器系統特有的功能,但是它配合該系統新推出的附加任務到事件功能,可以對賬戶狀態的變化、登錄狀態的變化、文件夾的變化等若干事件進行監控,這自然也包括對共享文件夾中的內容變化進行監控了。
為了實現自動監控的目的,我們可以先用手工方法啟用針對共享文件夾的審核對象訪問策略,日后Windows Server 2008服務器系統中的目標共享資源一旦被他人訪問或修改時,對應系統的日志功能就會將該操作記錄記憶保存下來,此時我們可以針對這種類型的事件,附加一個自動報警任務,這樣一來只要目標共享文件夾的狀態發生變化,那么附加到對應操作記錄上的自動報警任務就可以自動運行,我們收到報警提示后,就能立即監控到Windows Server 2008服務器系統的共享狀態變化了。
巧用Windows2008審核之啟用審核功能
大家知道,Windows Server 2008服務器系統在默認狀態下不會對共享文件夾的訪問操作進行跟蹤記錄,那么對應系統的日志功能自然也不會記錄共享文件夾的操作痕跡了;為了能夠觀察到共享文件夾的狀態變化,我們必須先要在Windows Server 2008服務器系統中啟用針對共享文件夾的審核對象訪問功能,只要該功能被成功啟用了,那么對應系統的日志功能就會把任何訪問共享文件夾的記錄保存到系統日志文件中了,日后我們才能針對某類特定的事件附加一個自動報警的任務計劃;下面是啟用Windows Server 2008服務器系統審核對象訪問功能的具體操作步驟:
首先依次單擊Windows Server 2008服務器系統桌面上的“開始”、“設置”、“控制面板”選項,打開對應系統的控制面板窗口,用鼠標雙擊其中的“管理工具”圖標,進入管理工具列表界面;
其次用鼠標雙擊該界面中的“本地安全策略”圖標,彈出對應系統的本地安全策略編輯界面,將鼠標定位于該界面左側位置處的“本地策略”分支項目上,再從目標分支下面依次選中“審核策略”、“審核對象訪問”選項,之后用鼠標右鍵單擊該選項,并執行快捷菜單中的“屬性”命令,彈出如圖1所示的審核對象訪問屬性設置對話框;
將該對話框中的“成功”復選項選中,同時單擊“確定”按鈕,這樣一來針對共享文件夾訪問操作的審核功能就被啟用成功了,日后我們通過網絡或在本地修改、刪除Windows Server 2008服務器系統中的共享內容時,對應系統的事件查看器程序就會將這些操作記錄自動記憶保存下來。
巧用Windows2008審核之記錄共享操作
為了讓共享狀態變化的監控結果自動通知給用戶,我們需要想辦法創建一個自動報警任務,以便在Windows Server 2008服務器系統的共享狀態發生變化的那一刻,該報警任務能夠自動觸發運行,實現通知、提示用戶的目的。要做到這一點,我們必須先在本地服務器系統中生成一個共享訪問記錄,只有這樣自動報警任務才能附加到這類操作事件上,下面是手工生成共享訪問記錄事件的操作步驟:
首先從局域網中任意選擇一臺普通工作站系統,通過網絡遠程登錄進Windows Server 2008服務器系統,并嘗試修改目標共享文件夾中的內容,修改完畢后,對應系統的日志功能就會將該操作記錄記憶保存下來;
其次用鼠標右鍵單擊Windows Server 2008服務器系統桌面上的“計算機”圖標,從彈出的快捷菜單中執行“管理”命令,打開對應系統的計算機管理窗口,從該管理窗口的左側列表中依次展開“系統工具”、“事件查看器”、“Windows日志”、“系統”分支選項(如圖2所示),在對應“系統”分支選項的右側列表區域中,我們就能找到剛才生成的共享訪問操作記錄了。
巧用Windows2008審核之實現監控報警
盡管Windows Server 2008服務器系統的日志功能可以自動記憶共享訪問操作的痕跡,可是它無法將其監控、記錄的結果自動通知給服務器系統的“主人”,為了實現自動監控報警的目的,我們可以按照下面的操作將自動報警任務附加到共享訪問操作記錄上,日后只要相同類型的事件再次生成時,那么該自動報警任務就能自動執行了,到時服務器系統的“主人”就能收到相應的報警提示了:
首先按照前面的操作打開Windows Server 2008服務器系統的計算機管理窗口,從該管理窗口的左側列表中依次展開“系統工具”、“事件查看器”、“Windows日志”、“系統”分支選項,在對應“系統”分支選項的右側列表區域中,選中剛才生成的共享訪問操作記錄選項;
其次用鼠標右鍵單擊該記錄選項,從彈出的快捷菜單中執行“將任務附加到此事件”命令,打開自動報警任務的創建向導對話框,依照向導屏幕的提示先將該任務名稱取為“自動監控共享狀態”,之后單擊“下一步”按鈕,向導屏幕會彈出一些提示信息,在確認這些內容正確無誤后,再單擊“下一步”按鈕,彈出如圖3所示的設置對話框;
在該對話框中,我們看到Windows Server 2008服務器系統為用戶提供了三種報警提示方式:啟動應用程序、發送電子郵件、顯示報警信息等,在這里我們可以選用更為顯眼的報警提示方式——“顯示消息”選項,之后將報警消息的標題設置為“監控共享狀態”,將報警提示的內容設置為“注意!服務器中共享內容的狀態已經發生變化!”,最后點擊“完成”按鈕結束自動報警任務的創建操作。
到了這里,Windows Server 2008服務器系統就可以對其中的共享文件夾狀態變化進行自動監控、報警了。日后,只要有惡意用戶通過局域網網絡偷偷更改、刪除本地服務器系統中時,Windows Server 2008系統屏幕上就會自動出現報警提示,告訴我們“注意!服務器中共享內容的狀態已經發生變化!”,見到這樣的報警提示,我們就能在第一時間知道本地共享資源可能已經被他人修改或訪問了,到時我們就能采取針對性措施進行安全防范了。
【編輯推薦】
