审核及本地安全策略

,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,HOPESCHOOL,Microsoft, Windows Server 2003,Enterprise Edition,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第八章审核及本地安全策略,可有,AD,，也可无,AD,。但要求,NTFS,。反应较慢。,审核是指通过将所选类型的事件记录在服务器或工作站的安全日至中来跟踪用户活动的过程。,安全审核是,Windows 2003,的一项功能，负责监视各种与安全性有关的事件。监视系统事件对于检测入侵者以及危及系统数据安全性的尝试是非常必要的。失败的登录尝试就是一个应该被审核的事件的范例。,域控制器中的审核在域控制器安全策略中定义,1,第八章审核及本地安全策略,一、审核的事件类别,审核帐户登录事件,审核帐户管理,审核目录服务访问,审核登录事件,审核对象访问,更改审核策略,审核特权使用,审核过程跟踪,审核系统事件,2,第八章审核及本地安全策略,二、审核的配置（对于无,AD,的,JSJ,）,1.,建立要被审核用户,Tom,2.,启用针对对象访问的审核功能,本地安全策略,安全设置,本地策略,审核策略,双击审核对象访问,选中“成功”和“失败”,3.,创建要配置审核的文件并应用审核策略,在,NTFS,分区上创建“,wages.xls”,属性,安全,高级,审核,添加,选中,Tom,用户,确定,选中“成功”和“失败”的所有条目,确定,4.,以,Tom,登录,在“,wages.xls”,文件中添入一些内容,5.,以,Administrator,登录,事件查看器,安全日志中查看记录,3,第八章审核及本地安全策略,提示：,审核帐户的登陆事件：审核策略,审核帐户登录事件,选择成功和失败,用正确和不正确用户登录,到事件查看器查看,三、事件查看器,事件查看器日志文件损坏时：禁用,event log,服务,重启系统,删除,%systemroot%system32config*.evt,启动,event log,服务或重启系统,4,第八章审核及本地安全策略,四、本地安全策略,密码策略,用户权力指派,安全选项,5,