有時(shí)候你是否想知道在你的主機(jī)或服務(wù)器上發(fā)生的事情——誰(shuí)來(lái)訪問(wèn)過(guò)？其實(shí)Windows 2000給我們提供了一項(xiàng)非常有用的功能：安全審核功能。安全審核可以用日志的形式記錄好幾種與安全相關(guān)的事件，你可以使用其中的信息來(lái)生成一個(gè)有規(guī)律活動(dòng)的概要文件，發(fā)現(xiàn)和跟蹤可疑事件，并留下關(guān)于某一侵入者活動(dòng)的有效法律證據(jù)。 打開審核策略 Windows 2000的默認(rèn)安裝沒有打開任何安全審核，所以需要進(jìn)入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應(yīng)的審核。系統(tǒng)提供了九類可以審核的事件，對(duì)于每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核(如圖1)。

圖1制定審核策略 策略更改：安全策略更改，包括特權(quán)指派、審核策略修改和信任關(guān)系修改。這一類必須同時(shí)審核它的成功或失敗事件。 登錄事件：對(duì)本地計(jì)算機(jī)的交互式登錄或網(wǎng)絡(luò)連接。這一類必須同時(shí)審核它的成功和失敗事件。 對(duì)象訪問(wèn)：必須啟用它以允許審核特定的對(duì)象，這一類需要審核它的失敗事件。 過(guò)程追蹤：詳細(xì)跟蹤進(jìn)程調(diào)用、重復(fù)進(jìn)程句柄和進(jìn)程終止，這一類可以根據(jù)需要選用。 目錄服務(wù)訪問(wèn)：記錄對(duì)Active Directory的訪問(wèn)，這一類需要審核它的失敗事件。 特權(quán)使用：某一特權(quán)的使用；專用特權(quán)的指派，這一類需要審核它的失敗事件。 系統(tǒng)事件：與安全(如系統(tǒng)關(guān)閉和重新啟動(dòng))有關(guān)的事件；影響安全日志的事件，這一類必須同時(shí)審核它的成功和失敗事件。 賬戶登錄事件：驗(yàn)證(賬戶有效性)通過(guò)網(wǎng)絡(luò)對(duì)本地計(jì)算機(jī)的訪問(wèn)，這一類必須同時(shí)審核它的成功和失敗事件。 賬戶管理：創(chuàng)建、修改或刪除用戶和組，進(jìn)行密碼更改，這一類必須同時(shí)審核它的成功和失敗事件。 打開以上的審核后，當(dāng)有人嘗試對(duì)你的系統(tǒng)進(jìn)行某些方式(如嘗試用戶密碼，改變賬戶策略，未經(jīng)許可的文件訪問(wèn)等等)入侵的時(shí)候，都會(huì)被安全審核記錄下來(lái)，存放在“事件查看器”中的安全日志中。 另外在“本地安全策略”中還可開啟賬戶策略，如在賬戶鎖定策略中設(shè)定，賬戶鎖定閥值為三次(那么當(dāng)三次無(wú)效登錄將鎖定)，然后將賬戶鎖定時(shí)間設(shè)定為30分鐘，甚至更長(zhǎng)。這樣，黑客想要攻擊你，一天24小時(shí)試密碼也試不了幾次，而且還要冒著被記錄追蹤的危險(xiǎn)。 審核策略設(shè)置完成后，需要重新啟動(dòng)計(jì)算機(jī)才能生效。這里需要說(shuō)明的是，審核項(xiàng)目既不能太多，也不能太少。如果太少的話，你如果想查看黑客攻擊的跡象卻發(fā)現(xiàn)沒有記錄，那就沒辦法了，但是審核項(xiàng)目如果太多，不僅會(huì)占用大量的系統(tǒng)資源，而且你也可能根本沒空去全部看完那些安全日志，這樣就失去了審核的意義。 對(duì)文件和文件夾訪問(wèn)的審核 對(duì)文件和文件夾訪問(wèn)的審核，首先要求審核的文件或文件夾必須位于NTFS分區(qū)之上，其次必須如上所述打開對(duì)象訪問(wèn)事件審核策略。符合以上條件，就可以對(duì)特定的文件或文件夾進(jìn)行審核，并且對(duì)哪些用戶或組指定哪些類型的訪問(wèn)進(jìn)行審核。 圖2審核項(xiàng)目的確定 圖3決定是否要繼承審核 在所選擇的文件或文件夾的屬性窗口的“安全”頁(yè)面上，點(diǎn)擊[高級(jí)]按鈕；在“審核”頁(yè)面上，點(diǎn)擊[添加]按鈕，選擇想對(duì)該文件或文件夾訪問(wèn)進(jìn)行審核的用戶，單擊[確定]；在“審核項(xiàng)目”對(duì)話框中，為想要審核的事件選擇“成功”或是“失敗”復(fù)選框(如圖2)，選擇完成后確定。返回到“訪問(wèn)控制設(shè)置”對(duì)話框，默認(rèn)情況下，對(duì)父文件夾所做的審核更改將應(yīng)用于其所包含子文件夾和文件。如果不想將父文件夾所進(jìn)行的審核更改應(yīng)用到當(dāng)前所選擇的文件或文件夾，清空檢查框“允許將來(lái)自父系的可繼承審核項(xiàng)目傳播給該對(duì)象”即可(如圖3)。審核結(jié)果的查看和維護(hù) 設(shè)置了審核策略和審核事件后，審核所產(chǎn)生的結(jié)果都被記錄到安全日志中，使用事件查看器可以查看安全日志的內(nèi)容或是在日志中查找指定事件的詳細(xì)信息。 圖4事件查看 在“管理工具”中運(yùn)行“事件查看器”，選擇“安全日志”。在右側(cè)顯示日志列表，以及每一條目的摘要信息(如圖4)。如果你在幾個(gè)登錄的失敗審核后面又發(fā)現(xiàn)登錄的成功審核，那你就要仔細(xì)查看這些日志信息了，如果是密碼太簡(jiǎn)單被人猜出，就需要增加密碼的長(zhǎng)度和復(fù)雜性了。在這里可以查看各個(gè)事件的詳細(xì)信息，還可以查找和篩選符合條件的事件。 隨著審核事件的不斷增加，安全日志文件的大小也會(huì)不斷增加，默認(rèn)情況下日志文件的大小是512KB，當(dāng)達(dá)到最大日志尺寸時(shí)，系統(tǒng)會(huì)改寫7天以前的事件。其實(shí)我們可以根據(jù)需要進(jìn)行更改。用鼠標(biāo)右擊“事件查看器”的“安全日志”項(xiàng)，選擇“屬性”，進(jìn)入安全日志的屬性窗口(如圖5)，在“常規(guī)”標(biāo)簽頁(yè)面上，網(wǎng)管員可以根據(jù)自己實(shí)際需要修改系統(tǒng)的這些默認(rèn)設(shè)置，以滿足自己存儲(chǔ)安全日志的需要。 圖5安全日志屬性設(shè)置 在Windows 2000系統(tǒng)中使用審核策略，雖然不能對(duì)用戶的訪問(wèn)進(jìn)行控制，但是你根據(jù)打開審核產(chǎn)生的安全日志，可以了解系統(tǒng)在哪些方面存在安全隱患以及系統(tǒng)資源的使用情況，從而為我們追蹤黑客提供可靠依據(jù)，同時(shí)還有利于采取相應(yīng)的防范措施將系統(tǒng)的不安全因素降到最低限度，從而營(yíng)造一個(gè)更加安全可靠的Windows 2000系統(tǒng)平臺(tái)。