在Win2000中妙用系統稽核

psac · 2003-12-25, 05:13 PM

在Win2000中妙用系統稽核

系統稽核（Audit），對於系統管理員是非常重要的。下面，我們就來看看如何設定稽核。

　　稽核的設定
　　1．稽核原則的設定

　　為執行Windows 2000 Professional的電腦設定稽核原則，需要執行系統管理工具中的本機安全原則工具進行設定。具體設定步驟如下：

　　在「開始」功能表上選項「程序」→「系統管理工具」→「本機安全原則」。如果在「開始」功能表中找不到「系統管理工具」程序組，則進入「控制台」，開啟「系統管理工具」程序組，選項「本機安全原則」。（如果在「開始」功能表的設定中沒有選項「顯示系統管理工具」。則「系統管理工具」不會出現在「開始」功能表中）；

　　在「本機安全原則」視窗的控制台目錄樹中，按下「本機原則」，然後選項「稽核原則」；

　　選要稽核的事件，在操作功能表中選項「安全性」，或是雙按所選項的稽核事件；

　　在原則設定視窗中，選項「成功」複選框或「失敗」複選框，或是將二者全部選。

　　稽核原則設定完成後，需要重新啟動電腦才能生效。

　　2．對文件和資料夾訪問的稽核

　　對文件和資料夾訪問的稽核，首先要求稽核的對象必須位於NTFS分區之上，其次必須為對像訪問事件設定稽核原則。符合以上條件，就可以對特定的文件或資料夾進行稽核，並且對哪些用戶或組指定哪些類型的訪問進行稽核。

　　設定的步驟如下：

　　在所選項的文件或資料夾的內容視窗的「安全」頁面上，點擊「進階」按鈕；

　　在「稽核」頁面上，點擊「增加」按鈕，選項想對文件或資料夾訪問進行稽核的用戶，按下「確定」；

　　在「稽核專案」對話視窗中，為想要稽核的事件選項「成功」或是「失敗」複選框，選項完成後確定。

　　返回到「訪問控制設定」對話視窗。預設情況下，對父資料夾所做的稽核更改將套用於其所包含子資料夾和文件。如果不想將父資料夾所進行的稽核更改套用到當前所選項的文件或資料夾，清空檢查框「允許將來自父系的可繼承稽核專案傳播給該對像」即可。

　　驗證並返回。

　　3．對列印機訪問的稽核。

　　對列印機訪問進行稽核，要求必須為對像訪問事件設定稽核原則。滿足這個條件就能夠對特定的列印機進行稽核，並能夠稽核指定的訪問類型以及稽核擁有訪問權限的用戶。

　　稽核步驟如下：

　　在選項的列印機的內容視窗，選項「安全」頁面，點擊「進階」按鈕。

　　在「稽核」頁面，點擊「增加」按鈕，選項想對列印機訪問進行稽核的用戶或組，點擊「確定」。

　　在專案稽核視窗中，在「套用到」下拉列表中選項稽核套用的目標；在「訪問」列表中為稽核的事件選項「成功」或「失敗」檢查框。設定完成後，點擊「確定」。。

　　稽核結果的檢視和維護

　　設定了稽核原則和稽核事件後，稽核所產生的結果都被記錄到安全日誌中，安全日誌記錄了稽核原則監控的事件成功或失敗執行的信息。使用事件檢視器可以檢視安全日誌的內容或是在日誌中搜尋指定事件的詳細資料。

　　事件檢視器的使用。

　　1．開啟「開始」功能表，指向「程序」→「系統管理工具」→「事件檢視器」。如果「開始」功能表中沒有「系統管理工具」，則進入控制台，開啟「系統管理工具」，執行「事件檢視器」。

　　2．在事件檢視器視窗的控制台樹選項「安全日誌」。在右邊的視窗顯示日誌條目的列表，以及每一條目的摘要信息，包括日期、事件、來源、分類、事件、用戶和電腦名稱。成功的事件前顯示一鑰匙圖示，而失敗的事件則顯示鎖的圖示。。

　　3．如果想檢視某一條目的詳細資料，雙按選項的條列；或是選項一條目後，點擊「操作」功能表的「內容」項。

　　4．搜尋事件。

　　如果要檢視某一指定類型的事件，或某一時間段發生的事件，或某一用戶的事件，就需要運用事件檢視器的搜尋功能。具體操作如下：

　　驗證控制樹中當前選定的專案是「安全日誌」，點擊檢視功能表的「搜尋」項。

　　在搜尋視窗中，選項或輸入相應的條件，點擊「搜尋下一個」按鈕，符合條件的事件就會在事件檢視器的事件列表視窗中反顯出來。

　　5．篩選事件。

　　如果想在事件檢視器的事件列表視窗中只列出符合相應條件的事件，這時要用到篩選功能。具體操作如下：

　　驗證控制樹中當前選定的專案是「安全日誌」，點擊「檢視」→「篩選」。

　　在「篩選器」頁面中，選項或輸入相應的條件後，點擊「確定」按鈕，符合條件的事件就會在事件檢視器的事件列表視窗中顯示出來。

　　6．安全日誌文件的管理。

　　隨著稽核事件的不斷增加，安全日誌文件的大小也不斷增加。日誌文件的大小可以從64KB到4GB，預設情況下是512KB。如何更改日誌文件的大小，或當日誌文件達到了所設定的大小時，自動進行那些操作呢？所有這些都可以通過更改日誌文件的內容來實現。在事件檢視器的控制樹選「安全日誌」項，點擊「操作」功能表的「內容」項，進入安全日誌的內容視窗，在「一般」標籤頁面上，可以對日誌文件的大小進行設定；對於日誌文件達到最大尺寸時，用戶根據需要可以有以下三種選項：改寫事件；改寫久於設定天數的事件和不改寫事件。

　　在Win2000系統中使用稽核原則，雖然不能對用戶的訪問進行控制，但是管理員根據稽核結果及時檢視安全日誌，可以瞭解系統在哪些方面存在安全隱患以及系統資源的使用情況，從而採取相應的措施將系統的不安全因素減到最低限度，從而營造一個更加安全可靠的Windows 2000系統平台。

minghaw · 2003-12-28, 09:37 AM

受益良多
謝~~~~~~~~~~~

2003-12-25, 05:13 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	在Win2000中妙用系統稽核在Win2000中妙用系統稽核系統稽核（Audit），對於系統管理員是非常重要的。下面，我們就來看看如何設定稽核。　　稽核的設定　　1．稽核原則的設定　　為執行Windows 2000 Professional的電腦設定稽核原則，需要執行系統管理工具中的本機安全原則工具進行設定。具體設定步驟如下：　　在「開始」功能表上選項「程序」→「系統管理工具」→「本機安全原則」。如果在「開始」功能表中找不到「系統管理工具」程序組，則進入「控制台」，開啟「系統管理工具」程序組，選項「本機安全原則」。（如果在「開始」功能表的設定中沒有選項「顯示系統管理工具」。則「系統管理工具」不會出現在「開始」功能表中）；　　在「本機安全原則」視窗的控制台目錄樹中，按下「本機原則」，然後選項「稽核原則」；　　選要稽核的事件，在操作功能表中選項「安全性」，或是雙按所選項的稽核事件；　　在原則設定視窗中，選項「成功」複選框或「失敗」複選框，或是將二者全部選。　　稽核原則設定完成後，需要重新啟動電腦才能生效。　　2．對文件和資料夾訪問的稽核　　對文件和資料夾訪問的稽核，首先要求稽核的對象必須位於NTFS分區之上，其次必須為對像訪問事件設定稽核原則。符合以上條件，就可以對特定的文件或資料夾進行稽核，並且對哪些用戶或組指定哪些類型的訪問進行稽核。　　設定的步驟如下：　　在所選項的文件或資料夾的內容視窗的「安全」頁面上，點擊「進階」按鈕；　　在「稽核」頁面上，點擊「增加」按鈕，選項想對文件或資料夾訪問進行稽核的用戶，按下「確定」；　　在「稽核專案」對話視窗中，為想要稽核的事件選項「成功」或是「失敗」複選框，選項完成後確定。　　返回到「訪問控制設定」對話視窗。預設情況下，對父資料夾所做的稽核更改將套用於其所包含子資料夾和文件。如果不想將父資料夾所進行的稽核更改套用到當前所選項的文件或資料夾，清空檢查框「允許將來自父系的可繼承稽核專案傳播給該對像」即可。　　驗證並返回。　　3．對列印機訪問的稽核。　　對列印機訪問進行稽核，要求必須為對像訪問事件設定稽核原則。滿足這個條件就能夠對特定的列印機進行稽核，並能夠稽核指定的訪問類型以及稽核擁有訪問權限的用戶。　　稽核步驟如下：　　在選項的列印機的內容視窗，選項「安全」頁面，點擊「進階」按鈕。　　在「稽核」頁面，點擊「增加」按鈕，選項想對列印機訪問進行稽核的用戶或組，點擊「確定」。　　在專案稽核視窗中，在「套用到」下拉列表中選項稽核套用的目標；在「訪問」列表中為稽核的事件選項「成功」或「失敗」檢查框。設定完成後，點擊「確定」。。　　稽核結果的檢視和維護　　設定了稽核原則和稽核事件後，稽核所產生的結果都被記錄到安全日誌中，安全日誌記錄了稽核原則監控的事件成功或失敗執行的信息。使用事件檢視器可以檢視安全日誌的內容或是在日誌中搜尋指定事件的詳細資料。　　事件檢視器的使用。　　1．開啟「開始」功能表，指向「程序」→「系統管理工具」→「事件檢視器」。如果「開始」功能表中沒有「系統管理工具」，則進入控制台，開啟「系統管理工具」，執行「事件檢視器」。　　2．在事件檢視器視窗的控制台樹選項「安全日誌」。在右邊的視窗顯示日誌條目的列表，以及每一條目的摘要信息，包括日期、事件、來源、分類、事件、用戶和電腦名稱。成功的事件前顯示一鑰匙圖示，而失敗的事件則顯示鎖的圖示。。　　3．如果想檢視某一條目的詳細資料，雙按選項的條列；或是選項一條目後，點擊「操作」功能表的「內容」項。　　4．搜尋事件。　　如果要檢視某一指定類型的事件，或某一時間段發生的事件，或某一用戶的事件，就需要運用事件檢視器的搜尋功能。具體操作如下：　　驗證控制樹中當前選定的專案是「安全日誌」，點擊檢視功能表的「搜尋」項。　　在搜尋視窗中，選項或輸入相應的條件，點擊「搜尋下一個」按鈕，符合條件的事件就會在事件檢視器的事件列表視窗中反顯出來。　　5．篩選事件。　　如果想在事件檢視器的事件列表視窗中只列出符合相應條件的事件，這時要用到篩選功能。具體操作如下：　　驗證控制樹中當前選定的專案是「安全日誌」，點擊「檢視」→「篩選」。　　在「篩選器」頁面中，選項或輸入相應的條件後，點擊「確定」按鈕，符合條件的事件就會在事件檢視器的事件列表視窗中顯示出來。　　6．安全日誌文件的管理。　　隨著稽核事件的不斷增加，安全日誌文件的大小也不斷增加。日誌文件的大小可以從64KB到4GB，預設情況下是512KB。如何更改日誌文件的大小，或當日誌文件達到了所設定的大小時，自動進行那些操作呢？所有這些都可以通過更改日誌文件的內容來實現。在事件檢視器的控制樹選「安全日誌」項，點擊「操作」功能表的「內容」項，進入安全日誌的內容視窗，在「一般」標籤頁面上，可以對日誌文件的大小進行設定；對於日誌文件達到最大尺寸時，用戶根據需要可以有以下三種選項：改寫事件；改寫久於設定天數的事件和不改寫事件。　　在Win2000系統中使用稽核原則，雖然不能對用戶的訪問進行控制，但是管理員根據稽核結果及時檢視安全日誌，可以瞭解系統在哪些方面存在安全隱患以及系統資源的使用情況，從而採取相應的措施將系統的不安全因素減到最低限度，從而營造一個更加安全可靠的Windows 2000系統平台。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2003-12-28, 09:37 AM	#2 (permalink)
minghaw 長老會員榮譽勳章勳章總數4 UID - 81448 在線等級: 註冊日期: 2003-06-27 住址: 美麗寶島文章: 201 精華: 0 現金: 16139 金幣資產: 21149 金幣	受益良多謝~~~~~~~~~~~

	送花文章: 11, 收花文章: 10 篇, 收花: 95 次

Google 提供的廣告