在信息技術世界里，變更是永恒的。如果您的 IT 組織與大多數其他 組織并無二致，那么了解在您的環境中所發生的變更就會成為您不得不面對的壓力，而且這種壓力與日俱增。IT 環境的復雜性和規模不斷變大，由于管理錯誤和意外數據泄漏所帶來的影響也越來越嚴重。當今的社會要求組織對此類事件負責，因此組織現在擔負著法律責任來保護它們所管理的信息。

　　這樣一來，審核環境中所發生的變更也就變得至關重要。為什么呢?通過審核，可以為了解和管理當今高度分散的大型 IT 環境中的變更提供方法。本文將涵蓋大多數組織所面臨的常見難題、IT 組織中符合性和規定的前景、中的一些基本審核，還將說明如何借助 的功能和 Microsoft System Center Operations Manager 2007 Audit Collection Services (ACS) 來完善全面的審核策略。

　　瞥一眼新聞標題就會發現，現在數據泄漏已逐漸成為一種常見問題。在這些意外事件中，許多都涉及到訴訟、財務損失以及組織要承擔的公共關系問題。能夠解釋所發生的變更或能夠快速確定問題是減小數據泄漏事件影響的關鍵。

　　例如，假定您的組織負責管理給定客戶群體的“個人身份信息”(PII)。盡管有多種方式來保護您所管理的系統中所包含的信息，但仍可能會出現安全問題。通過適當的審核，組織可以準確知道存在安全問題的系統和可能會丟失的數據。如果不進行審核，數據丟失所造成的影響可能會非常大，這主要是因為沒有辦法來估計危害程度。

　　那么為什么還沒有 IT 組織這樣做?原因在于，大多數組織沒有完全了解審核的技術方面問題。而高級管理層通常只了解諸如備份和還原等概念，審核環境中所發生的變更具有內在的復雜性，這是一種很難傳達的消息。因此，有關審核的問題通常只在重大意外事件發生后才會浮現出來。例如，雖然基本審核可能已啟用，但如果因缺少規劃而未將系統配置為審核某個特定變更，則不會收集該信息。

　　此外，在審核的安全事件中還有一些內在的問題需要 IT 專業人員來處理。其中一個難點是當今大型計算環境中系統的分布問題，這會給收集和聚合帶來嚴峻的挑戰，因為變更可能在任意給定時間出現在任何一個或一組系統中。進而還會產生另一個挑戰 — 關聯。有時需要轉換單個系統和多個系統上的事件間的關系，以提供所發生事情的真正涵義。

　　還要注意的另外一個問題是審核通常會超越傳統組織的邊界。不同的組織或團隊結構出于不同的原因而存在，可能不容易將其連接起來。許多組織都有目錄服務團隊、消息傳遞基礎結構團隊和桌面團隊，但可能只有一個安全團隊負責所有這些領域。而且，組織內的專門安全人員可能不會出現在所有位置。例如，分支機構通常依賴單個人或一個小團隊來負責包括安全事件日志管理在內的所有任務。

　　最后，大量的事件也是一個挑戰。審核的安全事件的事件日志記錄數據量要遠遠多于其他類型的事件日志記錄的數據量。收集的事件數使得有效保留和查看日志變得非常困難。而且，目前的規定和擬議的規定都要求保留此信息，因此并無助于減少當今計算基礎結構中的這一負擔。

　　以前，審核訪問信息可能被歸納為希望知道和試圖確保安全。現在，組織以及組織的高級管理人員對信息的泄漏或缺少適當的保護負有法律責任，因此 IT 管理員熟悉可能適用于其環境的各種規定就顯得尤為重要。對于全球性的公司，挑戰會更為嚴峻，因為每個國家都有自己的信息和保護規定。在圖 1 中列出了一些現有的規定符合性法規示例，還列出了 IT 組織的一些期望。

　　2002 年的“薩班-奧西利法案”(SOX)第 404 節承認信息系統的角色并要求上市公司每年對財務報告的內部控制情況進行一次復查。

　　健康保險可攜性與責任法案 (HIPPA)致力于有關健康數據的安全和隱私;“安全規則”涵蓋該數據的管理、物理和技術方面的保護。

　　電子發現 (eDiscovery)定義文檔保留和訪問的標準，包括確定文檔訪問人員的范圍和訪問方式。

　　2002 年的“聯邦信息安全管理法案”(FISMA)聯邦要求為美國政府體系提供全面的“信息安全”(INFOSEC) 框架，與各種法律執行機構進行協調，建立對商業產品和軟件功能的控制和承認機制。第 3544 節涵蓋機構的職責(包括 IT 控制)。

　　聯邦信息處理標準 (FIPS) 發布 200指定聯邦信息和信息系統的最低安全要求，并概述了在 NIST Special Publication (SP) 800-53 中找到的建議用法。在 NIST SP800-53 的第 AU-2 節 (Auditable Events) 中，指定信息系統必須能夠將審核記錄從多個組件編譯到系統范圍內與時間相關的審核追蹤中、能夠由單個組件管理審核的事件，并能夠確保組織定期復查可審核事件。

　　考慮到所有這些法律壓力，IT 專業人員需要做些什么?IT 經理和技術人員需要構建清晰簡練的情節并將其提供給組織內部和外部的人員。這包括制定正確的審核策略(需要事前評估和投資)。此處的關鍵概念在于，審核不能像常見的那樣可以事后進行設計。

　　此類 IT 挑戰通常可通過人員、過程和技術的組合加以解決。對審核而言，它就是過程。因此，第一步應掌握基礎知識，以便能夠響應組織對規定符合性的需要和要求。我們首先介紹 Windows 中有關審核的一些基礎知識，然后再深入研究 Windows Server 2008 和 Windows Vista® 中的變更。