您可選擇將一些服務器與域分隔。通過編輯本地計算機的組策略，或使用“Windows 2000 Server Resource Kit”中的 Auditpol.exe 實用程序，可在這些計算機上配置審核。

注重：要訪問本地計算機的組策略，請啟動 Microsoft 治理控制臺 (MMC)，然后添加該組策略治理單元，這將使該本地計算機成為治理單元的焦點。

定義事件日志設置
審核所生成的每個事件都顯示在“事件查看器”中。您應決定事件日志如何存儲生成的事件。每個這樣的設置都可直接在“事件查看器”中定義，或在組策略中定義。在本指南中，我們已在組策略中定義了“事件查看器”設置。

假如從組策略中刪除“事件查看器”設置，則可在“事件查看器”中直接進行設置。但建議您在組策略中定義“事件查看器”設置，確保所有相似計算機中的設置一致。

在 Contoso 環(huán)境中，組策略的配置不是在安全日志達到容量時關閉組織中的系統(tǒng)。實際的系統(tǒng)配置是，根據(jù)需要覆蓋事件日志。

要審核的事件
Microsoft Windows 2000 提供了幾類安全事件的審核。當制定企業(yè)審核策略時，需決定是否包含如下類別的安全審核事件：

• 登錄事件

• 帳戶登錄事件

• 對象訪問事件

• 目錄服務訪問事件

• 特權使用事件

• 進程跟蹤事件

• 系統(tǒng)事件

• 策略更改事件


下面幾節(jié)具體說明了特定類別在啟用審核時返回的常見事件 ID。

注重：負責搜索和收集事件日志信息的工具將在本模塊后的被動檢測方法一節(jié)討論。

登錄事件
假如要審核登錄事件（每次用戶登錄或注銷計算機時都審核），則會在發(fā)生登錄嘗試的計算機的安全日志中生成一個事件。另外，當用戶連接遠程服務器時，遠程服務器的安全日志中也會生成一個登錄事件。登錄事件是在登錄會話和令牌分別被創(chuàng)建或損壞時創(chuàng)建的。

登錄事件可用于跟蹤服務器的交互式登錄嘗試，或調查從某特定計算機發(fā)起的攻擊。成功的審核會在登錄嘗試成功時生成一個審核項。失敗的審核會在登錄嘗試失敗時生成一個審核項。

注重：登錄事件既包括計算機登錄事件，也包括用戶登錄事件。假如網(wǎng)絡連接是從基于 Microsoft Windows NT® 的計算機或基于 Windows 2000 的計算機進行嘗試的，則會看到用于計算機帳戶和用戶帳戶的單獨事件日志項�；��� Windows 9x 的計算機在目錄中沒有計算機帳戶，不會為網(wǎng)絡登錄事件生成計算機登錄事件項。

作為“成員服務器和域控制器基準策略”的一部分，應對成功和失敗登錄事件都啟用審核。因此，應能在“安全事件日志”中看到交互式登錄，以及連接到正在運行“終端服務”的計算機的“終端服務”登錄的下列事件 ID。

表 1：安全事件日志中的登錄事件

事件 ID 說明
528
用戶成功登錄計算機。

529
用戶使用系統(tǒng)未知的用戶名登錄，或已知用戶使用錯誤的密碼登錄。

530
用戶帳戶在許可的時間范圍外登錄。

531
用戶使用已禁用的帳戶登錄。

532
用戶使用過期帳戶登錄。

533
不答應用戶登錄計算機。

534
用戶使用不許可的登錄類型（如網(wǎng)絡、交互、批量、服務或遠程交互）進行登錄。

535
指定帳戶的密碼已過期。

536
Net Logon 服務未處于活動狀態(tài)。

537
登錄由于其他原因而失敗。

538
用戶注銷。

539
試圖登錄時帳戶已被鎖定。此事件表示密碼攻擊失敗，并導致該帳戶被鎖定。

540
網(wǎng)絡登錄成功。此事件表示遠程用戶已成功從該網(wǎng)絡連接到服務器上的本地資源，同時為該網(wǎng)絡用戶生成了一個令牌。

682
用戶重新連接了已斷開的終端服務會話。此事件表示前面已連接了一個終端服務會話。

查看更多 動易Cms教程  動易Cms模板