Windows 2000安全审核让入侵者无处遁形

作为一个网管员，你是否知道在你的主机或服务器上发生的事情——谁来访问过？他们都做过些什么？目的是什么？什么？你不知道！其实Windows 2000给我们提供了一项安全审核功能，我们做管理员这行的，最需要熟悉的就是这一功能了，否则你怎么管呢？ 安全审核可以用日志的形式记录好几种与安全相关的事件，你可以使用其中的信息来生成一个有规律活动的概要文件，发现和跟踪可疑事件，并留下关于某一侵入者活动的有效法律证据。

打开审核策略

Windows 2000的默认安装没有打开任何安全审核，所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件，对于每一类都可以指明是审核成功事件、失败事件，还是两者都审核。

策略更改：安全策略更改，包括特权指派、审核策略修改和信任关系修改。这一类必须同时审核它的成功或失败事件。

登录事件：对本地计算机的交互式登录或网络连接。这一类必须同时审核它的成功和失败事件。

对象访问：必须启用它以允许审核特定的对象，这一类需要审核它的失败事件。

过程追踪：详细跟踪进程调用、重复进程句柄和进程终止，这一类可以根据需要选用。

目录服务访问：记录对Active Directory的访问，这一类需要审核它的失败事件。

特权使用：某一特权的使用；专用特权的指派，这一类需要审核它的失败事件。

系统事件：与安全(如系统关闭和重新启动)有关的事件；影响安全日志的事件，这一类必须同时审核它的成功和失败事件。

账户登录事件：验证(账户有效性)通过网络对本地计算机的访问，这一类必须同时审核它的成功和失败事件。