Windows 2000安全审核让入侵者无处遁形

核心提示： 账户管理：创建、修改或删除用户和组，进行密码更改，Windows 2000安全审核让入侵者无处遁形(2)，这一类必须同时审核它的成功和失败事件，打开以上的审核后，从而为我们追踪黑客提供可靠依据，同时还有利于采取相应的防范措施将系统的不安全因素降到最低限度，当有人尝试对你的系统进行某些方式(

账户管理：创建、修改或删除用户和组，进行密码更改，这一类必须同时审核它的成功和失败事件。

打开以上的审核后，当有人尝试对你的系统进行某些方式(如尝试用户密码，改变账户策略，未经许可的文件访问等等)入侵的时候，都会被安全审核记录下来，存放在“事件查看器”中的安全日志中。

另外在“本地安全策略”中还可开启账户策略，如在账户锁定策略中设定，账户锁定阀值为三次(那么当三次无效登录将锁定)，然后将账户锁定时间设定为30分钟，甚至更长。这样，黑客想要攻击你，一天24小时试密码也试不了几次，而且还要冒着被记录追踪的危险。

审核策略设置完成后，需要重新启动计算机才能生效。这里需要说明的是，审核项目既不能太多，也不能太少。如果太少的话，你如果想查看黑客攻击的迹象却发现没有记录，那就没办法了，但是审核项目如果太多，不仅会占用大量的系统资源，而且你也可能根本没空去全部看完那些安全日志，这样就失去了审核的意义。

对文件和文件夹访问的审核

对文件和文件夹访问的审核，首先要求审核的文件或文件夹必须位于NTFS分区之上，其次必须如上所述打开对象访问事件审核策略。符合以上条件，就可以对特定的文件或文件夹进行审核，并且对哪些用户或组指定哪些类型的访问进行审核。

在所选择的文件或文件夹的属性窗口的“安全”页面上，点击[高级]按钮；在“审核”页面上，点击[添加]按钮，选择想对该文件或文件夹访问进行审核的用户，单击[确定]；在“审核项目”对话框中，为想要审核的事件选择“成功”或是“失败”复选框，选择完成后确定。返回到“访问控制设置”对话框，默认情况下，对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹，清空检查框“允许将来自父系的可继承审核项目传播给该对象”即可。

审核结果的查看和维护

设置了审核策略和审核事件后，审核所产生的结果都被记录到安全日志中，使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。

在“管理工具”中运行“事件查看器”，选择“安全日志”。在右侧显示日志列表，以及每一条目的摘要信息。如果你在几个登录的失败审核后面又发现登录的成功审核，那你就要仔细查看这些日志信息了，如果是密码太简单被人猜出，就需要增加密码的长度和复杂性了。在这里可以查看各个事件的详细信息，还可以查找和筛选符合条件的事件。

随着审核事件的不断增加，安全日志文件的大小也会不断增加，默认情况下日志文件的大小是512KB，当达到最大日志尺寸时，系统会改写7天以前的事件。其实我们可以根据需要进行更改。用鼠标右击“事件查看器”的“安全日志”项，选择“属性”，进入安全日志的属性窗口，在“常规”标签页面上，网管员可以根据自己实际需要修改系统的这些默认设置，以满足自己存储安全日志的需要。

在Windows 2000系统中使用审核策略，虽然不能对用户的访问进行控制，但是你根据打开审核产生的安全日志，可以了解系统在哪些方面存在安全隐患以及系统资源的使用情况，从而为我们追踪黑客提供可靠依据，同时还有利于采取相应的防范措施将系统的不安全因素降到最低限度，从而营造一个更加安全可靠的Windows 2000系统平台。