二、企业系统监控安全策略

　　尽管不断地在对系统进行修补，但由于软件系统的复杂性，新的安全漏洞总会层出不穷。因此，除了对安全漏洞进行修补之外，还要对系统的运行状态进行实时监视，以便及时发现利用各种漏洞的入侵行为。如果已有安全漏洞但还没有全部得到修补时，这种监视就显得尤其重要。

　　1、启用系统审核机制

　　系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件，以供管理员进行分析、查找系统和应用程序故障以及各类安全事件。

　　所有的操作系统、应用系统等都带有日志功能，因此可以根据需要实时地将发生在系统中的事件记录下来。同时还可以通过查看与安全相关的日志文件的内容，来发现黑客的入侵和入侵后的行为。当然，如果要达到这个目的，就必须具备一些相关的知识。首先必须要学会如何配置系统，以启用相应的审核机制，并同时使之能够记录各种安全事件。

　　对Windows Server 2003的服务器和工作站系统来说，为了不影响系统性能，默认的安全策略并不对安全事件进行审核。从“安全配置和分析”工具用SecEdit安全模板进行的分析结果可知，这些有红色标记的审核策略应该已经启用，这可用来发现来自外部和内部的黑客的入侵行为。对于关键的应用服务器和文件服务器来说，应同时启用剩下的安全策略。

　　如果已经启用了“审核对象访问”策略，那么就要求必须使用NTFS文件系统。NTFS文件系统不仅提供对用户的访问控制，而且还可以对用户的访问操作进行审核。但这种审核功能，需要针对具体的对象来进行相应的配置。

　　首先在被审核对象“安全”属性的“高级”属性中添加要审核的用户和组。在该对话框中选择好要审核的用户后，就可以设置对其进行审核的事件和结果。 在所有的审核策略生效后，就可以通过检查系统的日志来发现黑客的蛛丝马迹。