
Windows服务器审核策略设置
合理设置Windows服务器审核策略,记录服务器运行状况,实时掌握是否有人恶意尝试登录破解密码、是否有人成功登录过服务器、修改过服务器有关设置、访问过什么文件和文件夹、策略是否被修改过、系统有无意外重启或关机等。
Windows审核策略在那里设置、每项内容又该怎么设置?以下分别介绍 Windows Server 2003 和 Windows Server 2008 R2 的设置方法,它们的审核策略的设置项是相同的,只不过打开设置的窗口不同。
一、Windows审核策略设置
1、打开设置窗口
Windows Server 2008 R2:开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略,如图1所示;
Windows Server 2003:开始 → 运行 → 输入 gpedit.msc 回车 → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略。
图1
2、双击要设置的项(如,审核帐户登录事件),打开窗口如图2所示
图2
勾选要审核的操作(成功、失败),单击“应用”或“确定”即可,按此步骤重复设置其它项。
3、各项策略可按如下设置
帐户管理:成功 失败
登录事件:成功 失败
系统事件:成功 失败
特权使用:失败
目录服务访问:失败
对象访问:失败
策略更改:成功 失败
帐户登录事件:成功 失败
二、Windows审核策略相关说明
帐户管理:审核创建、更改、删除用户帐户或组,修改密码,禁用、启用、重命名用户帐户等;
登录事件:审核每个用户帐户登录或注销成功还是失败;
系统事件:审核对系统安全有影响的事件、重启或关闭计算机事件等;
特权使用:审核用户实施其权利的每一个实例;
目录服务访问:审核用户访问那些指定自己的系统访问控制列表(SACL)的 Active Directory(活动目录)对象的事件;
对象访问:审核用户访问文件、文件夹、注册表、打印机等对象,这些对象都有特定的系统访问控制列表(SACL);
策略更改:审核用户权限分配策略、审核策略、信任策略更改的每一个事件;
帐户登录事件:审核在这台计算机用于验证帐户时,用户登录到其它计算机或从其它计算机注销的每个实例;
过程跟踪:审核“程序激活、进程退出、句柄复制、间接对象访问”等事件的详细跟踪信息。
一般来说,服务器审核策略设置按第一点设置就可以了,第二点只是一些审核项的相关说明,有时间、有兴趣可以了解。