除了最小型的企業外,所有組織都有針對服務器的某些等級的安全審計。不管它收集的信息關于失敗登錄次數、安全文件訪問、文件刪除、活動目錄修改或是其它,事實是我們大部分人需要獲取一定量的信息。
在TechEd 2011上,我發起了一次有關審計的小組討論,這次討論弄清楚了一件事:Windows的本地安全審計明確地有些安全問題。某位先生的故事可以代表每個人的經歷:
管理方面要求我提供一些關于失敗登錄、成功登錄等事情的細節。我告訴他們,我們目前沒有收集這些信息,他們命令我們要去做這件事。我啟用了必要的審計,又盡快地幾乎將它們全關了。我們的域控制器根本不能處理額外的負載。
審計導致性能損失的事實最初讓很多管理員感到驚訝,因為這不完全是直覺。畢竟,域控制器已經在執行工作,為什么僅僅對它做個標注會這么難呢?它確實很難:有人表示,審計在他的公司是放在容量規劃里的工作。他估計他的團隊擁有的域控制器是處理登錄流量所需域控制器的兩倍,因為它已經開啟了幾乎每一個可能的審計選項。
對文件服務器而言,拒絕訪問文件的請求是一件事,而打開事件日志并將事實標注出來又是完全不同的操作。雖然Windows的本地事件日志架構是roburst,它并不是免費的。它需要計算力,它可以耗盡一臺服務器的所有性能。這也是審計幾乎總是在性能和知識間平衡的原因。發生越多的審計,這臺服務器最終處理的用戶工作負載就越少,因為它在審計工作負載上花的時間更多。一些組織只部署更多的計算資源來處理這些工作負載,其它企業為了保持服務器在理想的性能級別運行,不得不將審計量調整回去。
第三方審計解決方案有時候比本地事件日志架構處理更高等級的審計。它們通過結合三種基本技術來完成這一任務:
安裝在服務器上的代理可以直接接入Windows的應用程序接口(API),而不是等待事件寫入到事件日志中。這些代理節省了事件日志的日常開支,因為本地審計可以關閉。直接從API流量中獲取數據通常花費也更少。
審計數據可以“慵懶寫入”,這意味著它可以在較段時間內排隊等候日志。這通常不是很長的一段時間,但它確實允許審計占用次要位置來處理用戶工作負載。
事件通常傳輸到中央數據庫用于從服務器上實際地編寫、移除多一點的工作負載,因為該服務器不需要維持實際的日志。
管理員可能不得不做一些基于實驗室的實驗來精確地查看服務器環境中創建什么級別的性能會影響所選的審計配置。選擇審計方法的核心信息是:你不能擁有全部。管理需要理解,獲取每一點可能的信息都會產生性能影響,公司需要愿意為這些影響付出額外的服務器、更大的服務器或降低性能的代價。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:服務器安全審計:權衡知識和性能
相關文章
