Windows Server 2008中审核和符合性

　　现在我们已经了解了在审核时所面临的挑战和在法律和技术方面的问题，那么 IT 管理员该如何开始为其组织制定“审核计划”呢?与大多数事情一样，制定全面的审核策略是一个多步骤过程。第一步是确定要审核的内容。这包括对环境进行分析并确定哪些类型的事件和变更需要生成审核。这可以包括一些简单的项目(如帐户锁定、敏感组变更、信任创建等)，也可以包括复杂的变更(如修改所在环境中的应用程序内的配置元素)。此处的关键在于管理层必须参与确定审核计划中都需要有“什么”。此练习需要书面完成并应定期重复，而不是在发生重大意外事件以后再执行。

　　第二步是确定涉及特定变更的审核信息如何以安全事件的形式返回。审核信息有时比较难懂并且易读性较差。在实施之前，必须在安全事件和各种操作之间建立关联，以了解安全事件的真正涵义。不能在意外事件发生后再来确定事件与操作的关系。

　　第三步是指当这一切准备就绪时，即当您实施“审核策略”和 SACL 时。正如前面所讨论的，您需要在目录、文件系统和注册表中定义“审核策略”设置(以允许生成安全事件)和 SACL(为关联的操作生成审核追踪)，以获得在这些领域中对变更的完整描述。

　　接下来是第四步，也是最后一步，即收集、触发和分析。根据组织规模和需求的不同，这些可能会涵盖在 Windows Server 2008 的固有功能中，也可能涵盖在一些高级解决方案中，如 System Center Operations Manager 的“审核收集服务”功能。大多数组织所犯的一个常见错误是只设置“审核策略”而不定义 SACL。最后一步是实施技术解决方案，向组织中的负责人报告和共享数据。如前所述，大多数组织已建立了负责安全的实体，因此需要围绕有待提高效率的现有组织元素来构建审核计划。这最后一步的关键是要以有意义的方式收集信息并将其提供给那些负责了解环境中所发生变更的所有实体。

　　大多数 IT 组织现在已不只是仅考虑一个全面的审计计划，而是实际需要这样的计划。与先前的平台相比，Windows Server 2008 为收集和分析安全事件数据提供了增强的机制。先进的收集和报告技术(如 ACS)使过去因事件数量和分布原因而晦涩难懂的问题变得明朗起来，使这些变更立刻变得一目了然。

　　与大多数 IT 问题一样，过程是主要的挑战。必须通过更多的配置和分析才能捕捉到 IT 经理的预期目标，因此要想从容应对这些挑战，必须深入了解环境的要求和 Windows 平台的功能。祝您成功。