除了最小型的企業(yè)外，所有組織都有針對服務(wù)器的某些等級的安全審計(jì)。不管它收集的信息關(guān)于失敗登錄次數(shù)、安全文件訪問、文件刪除、活動目錄修改或是其它，事實(shí)是我們大部分人需要獲取一定量的信息。

    在TechEd 2011上，我發(fā)起了一次有關(guān)審計(jì)的小組討論，這次討論弄清楚了一件事：Windows的本地安全審計(jì)明確地有些安全問題。某位先生的故事可以代表每個人的經(jīng)歷：

    管理方面要求我提供一些關(guān)于失敗登錄、成功登錄等事情的細(xì)節(jié)。我告訴他們，我們目前沒有收集這些信息，他們命令我們要去做這件事。我啟用了必要的審計(jì)，又盡快地幾乎將它們?nèi)�關(guān)了。我們的域控制器根本不能處理額外的負(fù)載。

    審計(jì)導(dǎo)致性能損失的事實(shí)最初讓很多管理員感到驚訝，因?yàn)檫@不完全是直覺。畢竟，域控制器已經(jīng)在執(zhí)行工作，為什么僅僅對它做個標(biāo)注會這么難呢？它確實(shí)很難：有人表示，審計(jì)在他的公司是放在容量規(guī)劃里的工作。他估計(jì)他的團(tuán)隊(duì)擁有的域控制器是處理登錄流量所需域控制器的兩倍，因?yàn)樗�已�?jīng)開啟了幾乎每一個可能的審計(jì)選項(xiàng)。

    對文件服務(wù)器而言，拒絕訪問文件的請求是一件事，而打開事件日志并將事實(shí)標(biāo)注出來又是完全不同的操作。雖然Windows的本地事件日志架構(gòu)是roburst，它并不是免費(fèi)的。它需要計(jì)算力，它可以耗盡一臺服務(wù)器的所有性能。這也是審計(jì)幾乎總是在性能和知識間平衡的原因。發(fā)生越多的審計(jì)，這臺服務(wù)器最終處理的用戶工作負(fù)載就越少，因?yàn)樗�在審�?jì)工作負(fù)載上花的時(shí)間更多。一些組織只部署更多的計(jì)算資源來處理這些工作負(fù)載，其它企業(yè)為了保持服務(wù)器在理想的性能級別運(yùn)行，不得不將審計(jì)量調(diào)整回去。

    第三方審計(jì)解決方案有時(shí)候比本地事件日志架構(gòu)處理更高等級的審計(jì)。它們通過結(jié)合三種基本技術(shù)來完成這一任務(wù)：

    安裝在服務(wù)器上的代理可以直接接入Windows的應(yīng)用程序接口（API），而不是等待事件寫入到事件日志中。這些代理節(jié)省了事件日志的日常開支，因?yàn)楸镜貙徲?jì)可以關(guān)閉。直接從API流量中獲取數(shù)據(jù)通�；ㄙM(fèi)也更少。

    審計(jì)數(shù)據(jù)可以“慵懶寫入”，這意味著它可以在較段時(shí)間內(nèi)排隊(duì)等候日志。這通常不是很長的一段時(shí)間，但它確實(shí)允許審計(jì)占用次要位置來處理用戶工作負(fù)載。

    事件通常傳輸?shù)街醒霐?shù)據(jù)庫用于從服務(wù)器上實(shí)際地編寫、移除多一點(diǎn)的工作負(fù)載，因?yàn)樵摲��?wù)器不需要維持實(shí)際的日志。

    管理員可能不得不做一些基于實(shí)驗(yàn)室的實(shí)驗(yàn)來精確地查看服務(wù)器環(huán)境中創(chuàng)建什么級別的性能會影響所選的審計(jì)配置。選擇審計(jì)方法的核心信息是：你不能擁有全部。管理需要理解，獲取每一點(diǎn)可能的信息都會產(chǎn)生性能影響，公司需要愿意為這些影響付出額外的服務(wù)器、更大的服務(wù)器或降低性能的代價(jià)。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：服務(wù)器安全審計(jì)：權(quán)衡知識和性能

本文網(wǎng)址：http://www.oesoe.com/html/support/1112157614.html