Windows服务器审核策略设置

　　合理设置Windows服务器审核策略，记录服务器运行状况，实时掌握是否有人恶意尝试登录破解密码、是否有人成功登录过服务器、修改过服务器有关设置、访问过什么文件和文件夹、策略是否被修改过、系统有无意外重启或关机等。

　　Windows审核策略在那里设置、每项内容又该怎么设置？以下分别介绍 Windows Server 2003 和 Windows Server 2008 R2 的设置方法，它们的审核策略的设置项是相同的，只不过打开设置的窗口不同。

 

　　一、Windows审核策略设置

　　1、打开设置窗口

　　Windows Server 2008 R2：开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略，如图1所示；

　　Windows Server 2003：开始 → 运行 → 输入 gpedit.msc 回车 → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略。

图1

 

 

　　2、双击要设置的项（如，审核帐户登录事件），打开窗口如图2所示

图2

　　勾选要审核的操作（成功、失败），单击“应用”或“确定”即可，按此步骤重复设置其它项。

 

　　3、各项策略可按如下设置

　　帐户管理：成功 失败

　　登录事件：成功 失败

　　系统事件：成功 失败

　　特权使用：失败

 

　　目录服务访问：失败

　　对象访问：失败

　　策略更改：成功 失败

　　帐户登录事件：成功 失败

 

 

　　二、Windows审核策略相关说明

　　帐户管理：审核创建、更改、删除用户帐户或组，修改密码，禁用、启用、重命名用户帐户等；

　　登录事件：审核每个用户帐户登录或注销成功还是失败；

 

　　系统事件：审核对系统安全有影响的事件、重启或关闭计算机事件等；

　　特权使用：审核用户实施其权利的每一个实例；

 

　　目录服务访问：审核用户访问那些指定自己的系统访问控制列表（SACL）的 Active Directory（活动目录）对象的事件；

　　对象访问：审核用户访问文件、文件夹、注册表、打印机等对象，这些对象都有特定的系统访问控制列表（SACL）；

 

　　策略更改：审核用户权限分配策略、审核策略、信任策略更改的每一个事件；

　　帐户登录事件：审核在这台计算机用于验证帐户时，用户登录到其它计算机或从其它计算机注销的每个实例；

 

　　过程跟踪：审核“程序激活、进程退出、句柄复制、间接对象访问”等事件的详细跟踪信息。

 

　　一般来说，服务器审核策略设置按第一点设置就可以了，第二点只是一些审核项的相关说明，有时间、有兴趣可以了解。