當(dāng)考慮到網(wǎng)絡(luò)安全監(jiān)控問題時(shí)，大部分IT專家都會(huì)想到IDS/IPS系統(tǒng)（入侵檢測(cè)/入侵預(yù)防系統(tǒng)）。目前市面上有大量的硬件和軟件解決方案是針對(duì)如何發(fā)現(xiàn)和捕獲數(shù)據(jù)流中的不良進(jìn)程（即IDS），或者是讓惡意進(jìn)程更難以完成攻擊企業(yè)網(wǎng)絡(luò)的活動(dòng)（即IPS）。現(xiàn)在，微軟的用戶可以通過系統(tǒng)中心擁有提升任何IDS 或IPS系統(tǒng)的工具了，這就是微軟系統(tǒng)中心操作管理器（SCOM）中提供的審核收集服務(wù)（ACS）。

ACS是對(duì)任何IDS或IPS系統(tǒng)的補(bǔ)足。ACS可以針對(duì)Windows或Linux系統(tǒng)上運(yùn)行的安全策略，生成一致性評(píng)估報(bào)告。比如一個(gè)常見的針對(duì)特權(quán)成員組的策略，如Domain Admins組，應(yīng)該盡量控制成員人數(shù)并受到嚴(yán)格控制。ACS可以定期查看該組成員人數(shù)，確保符合策略要求。ACS還可以根據(jù)需求生成一些可供法庭使用的證據(jù)報(bào)告。

部署 ACS

如果企業(yè)已經(jīng)部署了系統(tǒng)中心操作管理器 (SCOM)，那么就可以立即安裝ACS。在Windows系統(tǒng)中，SCOM 2012中的ACS部署過程與在SCOM 2007 R2中完全一致。另外，SCOM 2012也可以直接支持Linux和UNIX系統(tǒng)的安全事件審計(jì)，而在SCOM 2007 R2中，這個(gè)功能必須通過安裝插件的形式實(shí)現(xiàn)。所以，不論你采用的是什么版本的SCOM，都可以實(shí)現(xiàn)針對(duì)Windows系統(tǒng)和Linux/UNIX系統(tǒng)的ACS部署。

對(duì)于 ACS的管理同樣是在基本的SCOM管理服務(wù)器和代理框架下進(jìn)行的。你可以指定一個(gè)SCOM管理服務(wù)器作為ACS控制器，并建立一個(gè)專用的SQL數(shù)據(jù)庫。然后就可以將ACS報(bào)表上傳到SCOM管理組的報(bào)表服務(wù)器中。最后，在SCOM控制臺(tái)里以任務(wù)的方式激活SCOM所管理的計(jì)算機(jī)上的審計(jì)代理組件（forward）并將ACS forwarder指向ACS控制器。

ACS審計(jì)數(shù)據(jù)被保存在數(shù)據(jù)庫中，并可以通過報(bào)表形式被訪問。圖A右側(cè)顯示出了Windows系統(tǒng)默認(rèn)的審計(jì)報(bào)表項(xiàng)目。對(duì)于 Linux/UNIX 系統(tǒng)，默認(rèn)的報(bào)表包括forensic以及不成功的登錄嘗試、賬戶管理活動(dòng)、管理員活動(dòng)，以及特權(quán)登錄報(bào)告等。

圖A  SCOM中自帶的審計(jì)報(bào)告項(xiàng)目

將數(shù)據(jù)導(dǎo)入 ACS

默認(rèn)情況下， Windows系統(tǒng)中審計(jì)的項(xiàng)目不多，因?yàn)橛?jì)算機(jī)的安全日志中記載的事件不多。當(dāng)使用安全策略后，審計(jì)的效果就會(huì)顯示出來。在活動(dòng)目錄域環(huán)境中，我們使用的是組策略。對(duì)于工作組計(jì)算機(jī)，本地安全策略可以被手動(dòng)導(dǎo)入或?qū)С龅狡渌ぷ鹘M計(jì)算機(jī)。Windows系統(tǒng)的域和本地安全策略有九項(xiàng)內(nèi)容可以被設(shè)定為審計(jì)項(xiàng)目，如圖B所示，圖中顯示的是推薦為“安全級(jí)別”的安全策略。

圖B  Windows域和本地安全策略中可以被審計(jì)的類型

在圖B中，Policy Settings列里的Success, Failure,或Not Defined等設(shè)置值都是默認(rèn)的“安全級(jí)別”所推薦的設(shè)置。一般來說，將其應(yīng)用到活動(dòng)目錄的域和域控制器組策略中都是不錯(cuò)的選擇，而且不會(huì)導(dǎo)致過多的審計(jì)活動(dòng)出現(xiàn)。另外，建議大家新建一個(gè)組策略，設(shè)定域控制器和成員服務(wù)器安全日志的最大容量。一般來說，推薦域控制器設(shè)置安全日志的最小容量是160MB，成員服務(wù)器的安全日志容量是16MB。

運(yùn)行 ACS Reports查看審計(jì)數(shù)據(jù)

默認(rèn)情況下，ACS將審計(jì)的數(shù)據(jù)保留14天，第15天的凌晨2點(diǎn)，保留期之前的數(shù)據(jù)會(huì)被清理。我們可以在SCOM控制臺(tái)中查看審計(jì)數(shù)據(jù)，也可以設(shè)定SCOM自動(dòng)將審計(jì)報(bào)表發(fā)布到網(wǎng)絡(luò)文件共享服務(wù)器，以便歸檔或不登錄控制臺(tái)時(shí)查看。圖C顯示的是審計(jì)報(bào)表界面：一項(xiàng)安全審計(jì)報(bào)告，內(nèi)容是最近兩天特權(quán)用戶的登錄情況。

圖C

在建立了與圖B所示的安全策略類似的策略后， ACS所提供的大多數(shù)審計(jì)報(bào)表，都會(huì)包含大量對(duì)網(wǎng)絡(luò)安全管理有意義的數(shù)據(jù)。其它一些報(bào)表，如forensic報(bào)表，可以用來重構(gòu)服務(wù)器之間的用戶登錄活動(dòng)。除了圖 C所示的特權(quán)用戶登錄情況報(bào)表外，下面幾個(gè)ACS默認(rèn)的報(bào)表也非常有價(jià)值：

Access Violation:不成功的登錄嘗試活動(dòng)

Account Management:域和內(nèi)置管理員更改活動(dòng)

System Integrity: 審計(jì)日志清理活動(dòng)（通常視為可疑活動(dòng)）

Usage: 敏感的安全組活動(dòng)