SCCM 2007 SP2带外 (Out-of-Band) 管理
这是AMT系列中的第二篇文章,本文主要介绍了SCCM SP2中的新功能:Audit Log,以及如何使用这项功能。
1. 什么叫Audit Log?它有什么作用?
SCCM SP2引入一个新功能--------Audit Log,这项功能建立在Intel®主动管理技术(Intel® AMT) 的4.x、5.x版本上。其目的有二:它能记录重要事件的发生,也能通过跟踪破坏性行为来制止管理员的不当操作。审计人员通过审查日志,可以发现入侵行为和破坏性的操作,也能够追踪到各种问题的根本原因。
SCCM 带外管理在SP2引入了这个功能,用户可以随时方便地为计算机启用或是禁止审计功能,指定需要审计的事件。在以往,如果发生了入侵或者管理员的误操作,我们所看到的只是它导致的后果,却很难找出其根源,这也影响了我们排除问题的速度。而启用Audit Log功能后,所有指定的事件都会被记录。根据这些记录,我们能够方便的找出问题原因,以尽快排查问题。
例如,Audit log 提供了对远程控制事件的记录,任何人远程启动或关闭了该计算机,均会在Audit log中留下一条记录,标明谁,何时,做了怎样的操作。 这样如果出现未授权的远程控制情况,Admin将能容易地定位到责任人。
又如,IDE重定向是一个实用却危险的功能,如果获得IDE重定向的权力,只需要加载一个备用的操作系统,就可以对计算机硬盘上的数据进行远程攻击。但Audit Log能够记录到IDE重定向会话的开、闭。一旦发现攻击,能够根据记录及时找到问题所在。
2. 怎样启用Audit Log?
1) 选择你想要审计的事件
![clip_image002[12]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/msdchina/WindowsLiveWriter/SCCM2007SP2OutofBand_BB79/clip_image002%5B12%5D.jpg "clip_image002[12]")
2) 选中将启用Audit Log的计算机,右键点击,选择启用Audit Log。如果管理员修改了选中的审计事件,也可以使用此菜单项来修改后信息更新到选中的计算机。
![clip_image004[11]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/msdchina/WindowsLiveWriter/SCCM2007SP2OutofBand_BB79/clip_image004%5B11%5D.jpg "clip_image004[11]")
3. 如何查看/导出SCCM中的Audit Log
打开OOB控制台,查看Audit Log。
选中一条记录后可以看到它的详细信息(事件,发起人,扩展数据)。
也可以查看Audit Log启用/禁止状态和所占用的空间。
![clip_image006[11]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/msdchina/WindowsLiveWriter/SCCM2007SP2OutofBand_BB79/clip_image006%5B11%5D.jpg "clip_image006[11]")
点击“导出”,可以将Audit Log保存成csv格式的文件,该格式文件可以用Excel打开。
![clip_image008[11]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/msdchina/WindowsLiveWriter/SCCM2007SP2OutofBand_BB79/clip_image008%5B11%5D.jpg "clip_image008[11]")
4. 如何禁止Audit Log
选中目标计算机,右键点击,选择禁止Audit Log即可。可以通过启用Audit Log选项再次启用Audit Log。
5. 如何清除Audit Log
选中目标计算机 (或选中的Collection),右键点击,选择清除日志。
对于4.0、5.0的AMT计算机,如果SCCM Audit Log已满85%,将不会再记录新的日志(AMT 5.1可以使用Rollover Audit 策略以避免这种情况),所以管理员应当及时清除日志。
——韦炜,张婧