网络安全--审核(1)

转自chinaitlab

审核是Windows2000中
以将Windows2000 Server中
作、执行者以及执行的时间
用来追踪电脑上用户的活动与资
的一些事件记录到安全性记录文
，然后我们可以通过事件检视器
源访问的程序通过审核的追踪，我们可
件中。安全性记录文件会记录执行的动
来查看记录的内容。

　　在我们安装好Windows2
启动审核功能我们必须先在
000 Server之后，审核的功能在
该电脑上设置审核。
默认的状态下为关闭。因此，如果想要


　　审核可追踪的事件如下:
　　●用户的登录与注销
　　●验证用户帐户
　　●文件、文件夹与打印机的访问
　　●用户帐户与组的变更
　　●访问Active Directory对象
　　●关机与重新启动

　　5-4-1 设置审核策略


　　了解审核的功能与所能
须要注意你是否具有Manage
授与Administrators组)，
器，则请点选[开始]-[程序
图21的画面。
追踪的事件后，接着介绍如何设
Auditing And Security Log的
接着我们需要根据服务器的类型
组]-4[系统管理工具]-[域控制

置审核策略。但在设置审核策略之前必
权限(Windows2000 Server会将该权限
来设置组策略。例如:本机若为域控制
器安全策略]选项，此时屏幕上会出现




图21 域控制器安全性策略设置的画面

　　展开上图的[安全设置]项-展开[本地策略
口中看到审核的策略。由于默认值都是"
键弹出式菜单的[安全性]选项或双击该策略来
]项-点选[审核策略]项，此时我们可以在右方的子窗
无审核"，因此我们可以通过点选某策略鼠标石
设置其审核策略，请参考图22。

　　


图22 设置审核目录服务访问的安全性画面

　　点选[安全性]选项，进入[安全策略设置]
。
对话框，我们可以勾选所要审核的事件，请参考图23




图23 安全策略设置画面

　　如果勾选[成功]选项则
核。最后请按[确建]按钮以
会对成功的事件进行审核，如果
回到域控制器安全策略画面参考
勾选[失败]选项则会对失败事件进行审
图24．

　　



图24 设置审核策略后的画面

　　上图中一共有九项策略可供设置，说明如下：



完成审核策略设置之后，请点选[开始]-[
输入:
程序组]-[附属应用程序]-[命令提示符]选项，然后


　　Secedit/RefreshPolicy machine_policy
　　输入后请按<Enter&
效，请参考图26。
gt;键让所设置的审核才生效，

但是需要等待数分钟变更的策略才会生



图26 组策略传播的画面

网络安全--审核(2)
5-4-2 设置文件与目录的审核事件


　　本小节我们将介绍如何
。以c:\www\out.htm文件为
，此时会出现图27的对话框
对特定的文件与目录设置审核，
例。请点选该文件鼠标右键弹出
。
但这些文件与目录必须位于NTFS扇区中
式菜单的[属性]选项-点选[安全]页签


　　



　　图27 文件属性的对话框画面

　　请按上图下方的[高级]按钮-点选[审核]页签以进入设置审核的画面，请参考图28。
　　



　　图28 设置文件审核的对话框画面

　　在未设置之前，审核项
出现[选择用户、组或电脑]
可确保我们可以审核到连接
框画面，请参考图29
目为空白窗口，因此请按[添加]
的对话框。请点选想要审核的用
到本机访问本目录的任何人。点

按钮以加入审核的用户。此时屏幕上全
户，我们建议点选[Everyone]组，这样
选用户之后会马上出现审核事件的对话


　　



　　图29 设置文件审核事件的对话框画面

　　请勾选想要追踪的事件
确定]按钮后回到图30的所
。我们可以在此处变更使用或在
示画面:
[应用到]栏位中选择套用的策略。按[


　　



　　图30 设置审核事件后的画面

　　在图29中我们可以看到系统己勾选[允许
勾选该选项会将父文件夹所做的审核变更都套
用该文件则应取消勾选该选项。
将来自父系的可继承审核项目传播给核对象]选项，
用该文件。如果不想将父文件夹所做的审核变更都套


　

网络安全--审核(3)
5-4-3 查看访问情况


　　除了可以查阅IIS记录
"Windows安全记录&qu
问尝试。当然这些记录也可
始]-[程序)-[管理工具]-[
外。我们还可以查看Windows安
ot;中，我们可以通过查看警吉
以将这些储存成文件以供日后使
事件查看器]选项以启动事件查
全记录以定期监视安全事件。在
或错误的记录项，来检测出不正常的访
用。想要查看安全性记录。请点选[符
看器，其画面请参考图31.

图31 事件查看器画面

　　接着请点选左方窗口的
参考图32。
[安全日志]项。此时我们就可以

在右方窗口看到审核项的详细数据。请

图32 在事件查看器中查看安全性记录的画面

　　在上图中我们可以看到
可，请参考图33。
成功"失败的审核，如果想

要看更详细的数据，则可以双击该项即





图33 查看失败审核的详细数据

　　虽然使用审核的功能可以记录许多的安全
的执行性能。在设置审核的范围时应愈特定愈
些文件需要进行审核，则应该只对这些文件设
性数据，但是审核的操作却相当的耗时,为了服务器
好。例如:一个文件夹内若有200个文件，其中只有一
置审核，而不是对整个目录作审核。

　　

晕了,怎么字乱窜,从这行搞到别的行去了,谁知道是怎么回事呀?