您可選擇將一些服務(wù)器與域分隔。通過編輯本地計(jì)算機(jī)的組策略，或使用“Windows 2000 Server Resource Kit”中的 Auditpol.exe 實(shí)用程序，可在這些計(jì)算機(jī)上配置審核。

注重：要訪問本地計(jì)算機(jī)的組策略，請(qǐng)啟動(dòng) Microsoft 治理控制臺(tái) (MMC)，然后添加該組策略治理單元，這將使該本地計(jì)算機(jī)成為治理單元的焦點(diǎn)。

定義事件日志設(shè)置
審核所生成的每個(gè)事件都顯示在“事件查看器”中。您應(yīng)決定事件日志如何存儲(chǔ)生成的事件。每個(gè)這樣的設(shè)置都可直接在“事件查看器”中定義，或在組策略中定義。在本指南中，我們已在組策略中定義了“事件查看器”設(shè)置。

假如從組策略中刪除“事件查看器”設(shè)置，則可在“事件查看器”中直接進(jìn)行設(shè)置。但建議您在組策略中定義“事件查看器”設(shè)置，確保所有相似計(jì)算機(jī)中的設(shè)置一致。

在 Contoso 環(huán)境中，組策略的配置不是在安全日志達(dá)到容量時(shí)關(guān)閉組織中的系統(tǒng)。實(shí)際的系統(tǒng)配置是，根據(jù)需要覆蓋事件日志。

要審核的事件
Microsoft Windows 2000 提供了幾類安全事件的審核。當(dāng)制定企業(yè)審核策略時(shí)，需決定是否包含如下類別的安全審核事件：

• 登錄事件

• 帳戶登錄事件

• 對(duì)象訪問事件

• 目錄服務(wù)訪問事件

• 特權(quán)使用事件

• 進(jìn)程跟蹤事件

• 系統(tǒng)事件

• 策略更改事件


下面幾節(jié)具體說明了特定類別在啟用審核時(shí)返回的常見事件 ID。

注重：負(fù)責(zé)搜索和收集事件日志信息的工具將在本模塊后的被動(dòng)檢測(cè)方法一節(jié)討論。

登錄事件
假如要審核登錄事件（每次用戶登錄或注銷計(jì)算機(jī)時(shí)都審核），則會(huì)在發(fā)生登錄嘗試的計(jì)算機(jī)的安全日志中生成一個(gè)事件。另外，當(dāng)用戶連接遠(yuǎn)程服務(wù)器時(shí)，遠(yuǎn)程服務(wù)器的安全日志中也會(huì)生成一個(gè)登錄事件。登錄事件是在登錄會(huì)話和令牌分別被創(chuàng)建或損壞時(shí)創(chuàng)建的。

登錄事件可用于跟蹤服務(wù)器的交互式登錄嘗試，或調(diào)查從某特定計(jì)算機(jī)發(fā)起的攻擊。成功的審核會(huì)在登錄嘗試成功時(shí)生成一個(gè)審核項(xiàng)。失敗的審核會(huì)在登錄嘗試失敗時(shí)生成一個(gè)審核項(xiàng)。

注重：登錄事件既包括計(jì)算機(jī)登錄事件，也包括用戶登錄事件。假如網(wǎng)絡(luò)連接是從基于 Microsoft Windows NT® 的計(jì)算機(jī)或基于 Windows 2000 的計(jì)算機(jī)進(jìn)行嘗試的，則會(huì)看到用于計(jì)算機(jī)帳戶和用戶帳戶的單獨(dú)事件日志項(xiàng)�；��� Windows 9x 的計(jì)算機(jī)在目錄中沒有計(jì)算機(jī)帳戶，不會(huì)為網(wǎng)絡(luò)登錄事件生成計(jì)算機(jī)登錄事件項(xiàng)。

作為“成員服務(wù)器和域控制器基準(zhǔn)策略”的一部分，應(yīng)對(duì)成功和失敗登錄事件都啟用審核。因此，應(yīng)能在“安全事件日志”中看到交互式登錄，以及連接到正在運(yùn)行“終端服務(wù)”的計(jì)算機(jī)的“終端服務(wù)”登錄的下列事件 ID。

表 1：安全事件日志中的登錄事件

事件 ID 說明
528
用戶成功登錄計(jì)算機(jī)。

529
用戶使用系統(tǒng)未知的用戶名登錄，或已知用戶使用錯(cuò)誤的密碼登錄。

530
用戶帳戶在許可的時(shí)間范圍外登錄。

531
用戶使用已禁用的帳戶登錄。

532
用戶使用過期帳戶登錄。

533
不答應(yīng)用戶登錄計(jì)算機(jī)。

534
用戶使用不許可的登錄類型（如網(wǎng)絡(luò)、交互、批量、服務(wù)或遠(yuǎn)程交互）進(jìn)行登錄。

535
指定帳戶的密碼已過期。

536
Net Logon 服務(wù)未處于活動(dòng)狀態(tài)。

537
登錄由于其他原因而失敗。

538
用戶注銷。

539
試圖登錄時(shí)帳戶已被鎖定。此事件表示密碼攻擊失敗，并導(dǎo)致該帳戶被鎖定。

540
網(wǎng)絡(luò)登錄成功。此事件表示遠(yuǎn)程用戶已成功從該網(wǎng)絡(luò)連接到服務(wù)器上的本地資源，同時(shí)為該網(wǎng)絡(luò)用戶生成了一個(gè)令牌。

682
用戶重新連接了已斷開的終端服務(wù)會(huì)話。此事件表示前面已連接了一個(gè)終端服務(wù)會(huì)話。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板