HOPESCHOOLMicrosoft™WindowsServer2003EnterpriseEdition1第八章审核及本地安全策略可有AD,也可无AD。但要求NTFS。反应较慢。审核是指通过将所选类型的事件记录在服务器或工作站的安全日至中来跟踪用户活动的过程。安全审核是Windows2003的一项功能,负责监视各种与安全性有关的事件。监视系统事件对于检测入侵者以及危及系统数据安全性的尝试是非常必要的。失败的登录尝试就是一个应该被审核的事件的范例。域控制器中的审核在域控制器安全策略中定义HOPESCHOOLMicrosoft™WindowsServer2003EnterpriseEdition2第八章审核及本地安全策略一、审核的事件类别审核帐户登录事件审核帐户管理审核目录服务访问审核登录事件审核对象访问更改审核策略审核特权使用审核过程跟踪审核系统事件HOPESCHOOLMicrosoft™WindowsServer2003EnterpriseEdition3第八章审核及本地安全策略二、审核的配置(对于无AD的JSJ)1.建立要被审核用户Tom2.启用针对对象访问的审核功能本地安全策略——安全设置——本地策略——审核策略——双击审核对象访问——选中“成功”和“失败”3.创建要配置审核的文件并应用审核策略在NTFS分区上创建“wages.xls”——属性——安全——高级——审核——添加——选中Tom用户——确定——选中“成功”和“失败”的所有条目——确定4.以Tom登录在“wages.xls”文件中添入一些内容5.以Administrator登录事件查看器——安全日志中查看记录HOPESCHOOLMicrosoft™WindowsServer2003EnterpriseEdition4第八章审核及本地安全策略提示:审核帐户的登陆事件:审核策略——审核帐户登录事件——选择成功和失败——用正确和不正确用户登录——到事件查看器查看三、事件查看器事件查看器日志文件损坏时:禁用eventlog服务——重启系统——删除%systemroot%\system32\config\*.evt——启动eventlog服务或重启系统HOPESCHOOLMicrosoft™WindowsServer2003EnterpriseEdition5第八章审核及本地安全策略四、本地安全策略密码策略用户权力指派安全选项