當考慮到網絡安全監(jiān)控問題時，大部分IT專家都會想到IDS/IPS系統(tǒng)（入侵檢測/入侵預防系統(tǒng)）。目前市面上有大量的硬件和軟件解決方案是針對如何發(fā)現和捕獲數據流中的不良進程（即IDS），或者是讓惡意進程更難以完成攻擊企業(yè)網絡的活動（即IPS）。現在，微軟的用戶可以通過系統(tǒng)中心擁有提升任何IDS 或IPS系統(tǒng)的工具了，這就是微軟系統(tǒng)中心操作管理器（SCOM）中提供的審核收集服務（ACS）。

ACS是對任何IDS或IPS系統(tǒng)的補足。ACS可以針對Windows或Linux系統(tǒng)上運行的安全策略，生成一致性評估報告。比如一個常見的針對特權成員組的策略，如Domain Admins組，應該盡量控制成員人數并受到嚴格控制。ACS可以定期查看該組成員人數，確保符合策略要求。ACS還可以根據需求生成一些可供法庭使用的證據報告。

部署 ACS

如果企業(yè)已經部署了系統(tǒng)中心操作管理器 (SCOM)，那么就可以立即安裝ACS。在Windows系統(tǒng)中，SCOM 2012中的ACS部署過程與在SCOM 2007 R2中完全一致。另外，SCOM 2012也可以直接支持Linux和UNIX系統(tǒng)的安全事件審計，而在SCOM 2007 R2中，這個功能必須通過安裝插件的形式實現。所以，不論你采用的是什么版本的SCOM，都可以實現針對Windows系統(tǒng)和Linux/UNIX系統(tǒng)的ACS部署。

對于 ACS的管理同樣是在基本的SCOM管理服務器和代理框架下進行的。你可以指定一個SCOM管理服務器作為ACS控制器，并建立一個專用的SQL數據庫。然后就可以將ACS報表上傳到SCOM管理組的報表服務器中。最后，在SCOM控制臺里以任務的方式激活SCOM所管理的計算機上的審計代理組件（forward）并將ACS forwarder指向ACS控制器。

ACS審計數據被保存在數據庫中，并可以通過報表形式被訪問。圖A右側顯示出了Windows系統(tǒng)默認的審計報表項目。對于 Linux/UNIX 系統(tǒng)，默認的報表包括forensic以及不成功的登錄嘗試、賬戶管理活動、管理員活動，以及特權登錄報告等。

圖A  SCOM中自帶的審計報告項目

將數據導入 ACS

默認情況下， Windows系統(tǒng)中審計的項目不多，因為計算機的安全日志中記載的事件不多。當使用安全策略后，審計的效果就會顯示出來。在活動目錄域環(huán)境中，我們使用的是組策略。對于工作組計算機，本地安全策略可以被手動導入或導出到其它工作組計算機。Windows系統(tǒng)的域和本地安全策略有九項內容可以被設定為審計項目，如圖B所示，圖中顯示的是推薦為“安全級別”的安全策略。

圖B  Windows域和本地安全策略中可以被審計的類型

在圖B中，Policy Settings列里的Success, Failure,或Not Defined等設置值都是默認的“安全級別”所推薦的設置。一般來說，將其應用到活動目錄的域和域控制器組策略中都是不錯的選擇，而且不會導致過多的審計活動出現。另外，建議大家新建一個組策略，設定域控制器和成員服務器安全日志的最大容量。一般來說，推薦域控制器設置安全日志的最小容量是160MB，成員服務器的安全日志容量是16MB。

運行 ACS Reports查看審計數據

默認情況下，ACS將審計的數據保留14天，第15天的凌晨2點，保留期之前的數據會被清理。我們可以在SCOM控制臺中查看審計數據，也可以設定SCOM自動將審計報表發(fā)布到網絡文件共享服務器，以便歸檔或不登錄控制臺時查看。圖C顯示的是審計報表界面：一項安全審計報告，內容是最近兩天特權用戶的登錄情況。

圖C

在建立了與圖B所示的安全策略類似的策略后， ACS所提供的大多數審計報表，都會包含大量對網絡安全管理有意義的數據。其它一些報表，如forensic報表，可以用來重構服務器之間的用戶登錄活動。除了圖 C所示的特權用戶登錄情況報表外，下面幾個ACS默認的報表也非常有價值：

Access Violation:不成功的登錄嘗試活動

Account Management:域和內置管理員更改活動

System Integrity: 審計日志清理活動（通常視為可疑活動）

Usage: 敏感的安全組活動