超级会员免费看
网络安全与磁盘管理全解析
1. 审计关键事件
审计是标记特定事件的过程,这些事件会自动添加到日志文件中,让你了解系统的运行情况。在审计策略和实践中,需要在全面审计和不审计之间找到平衡。如果审计所有事件,系统可能会陷入停滞,还会被大量无用数据淹没,难以找到重要事件;如果不进行审计,虽然不会被数据淹没,但无法了解系统状况,就像闭着眼睛开车。因此,对关键事件进行审计,有助于及早发现问题,避免全面危机。默认情况下,SBS 会对失败的登录事件和账户锁定进行审计。
1.1 审计失败的登录事件
审计失败的登录事件可以帮助检测是否发生暴力攻击(如字典攻击)。每次用户登录失败时,相关事件都会记录到日志文件中。有时登录失败可能是因为用户误按了大写锁定键或输错密码,但如果同一用户账户多次出现登录失败事件,就可能存在暴力攻击。可以联系用户核实情况,并采取进一步措施查找潜在的黑客。
默认情况下,SBS 设置为在 10 分钟内允许 50 次失败的登录尝试,之后账户将被锁定 10 分钟,10 分钟后账户会自动重置。由于合法用户不太可能在 10 分钟内尝试 50 次登录失败,建议将此默认设置降低到 5 或 6 次,以便区分用户错误和暴力攻击。
1.2 审计账户锁定
当预设的登录尝试阈值被超过时,账户会自动锁定。例如,用户在 10 分钟内尝试 50 次登录其账户,该账户将被锁定 10 分钟。你可以配置系统,使你和用户在账户锁定事件发生时收到电子邮件通知。如果在解锁后再次收到通知,基本可以确定该账户正在遭受攻击,需采取相应的对策。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
