1。启用审计的策略
所谓的审计跟踪,系统会跟踪以及相应的审计功能的应用后,记录事件发生的过程,便于管理员查看。使用审计功能,不仅可以监控计算机上的用户的操作,但也排除故障,根据系统的运行的状态。然而,解锁审计会降低系统性能,因为系统需要的资源的一部分用于此目的的记录和存储事件。因此,我们要根据要求当我们使审计的审计策略。
作为管理员需要明确以下几个方面:要研究什么是合理的;设立审计策略;哪些用户有权访问日志;负责收集和归档日志;如何工作日志备份;日志丢失的处理;循环日志和审查;审查日志的工具使用日志的措施;发现安全问题如何处理等。只有这样才能平衡实现审计系统性能之间。
2。配置审计策略
审计是监督和特定事件的过程记录,所以结果保存到系统事件日志。当然,Windows Vista将不记录安全日志,除非相应的审计功能打开。打开审计的方法是单击开始,具有控制;面板RARR;系统维护RARR;管理工具打开本地安全策略;;;控制台。然后在地方政策具有;审计政策找到相应的审计策略。
有9个审计政策,可以在Vista启动,主板维修,如审计,特权,这是用来记录用户的权限以外的登录、注销及系统运行过程中网络。审核帐户管理;创造纪录,删除,更改,和的用户帐户的其他事件。跟踪审计过程跟踪和记录过程的后台操作,如程序激活,句柄复制和访问文件的管理资源,使各种审计策略的方式是类似的。至于启用什么审计策略,应该根据您自己的安全需求进行选择。(图1)
U3000 U3000
例如,登录事件时,我们只需双击打开策略,然后检查审核,包括事件的成功和失败。最后点击这个,这样Windows Vista就可以开始审核所有本地用户帐户的所有登录事件,包括用户成功登录和登录失败,这样我们就可以利用系统是否已经非法注册并被入侵。(图2)
三.检查审计报告
审核策略启用后,系统记录相关事件在系统日志。如果你想查看日志,吉林计算机维修,安装设置,你需要通过事件查看器视图,单击RARR;具有控制面板;;RARR;系统和维护;管理工具,打开事件查看器;;;控制台在Windows日志;有;应用;,安全;设置;转发事件;和其他类别,点击不同的类别,您可以查看记录在窗格的中间事件的所有类别。双击一个事件记录可以打开T他详细记录了信息窗口,用户可以了解事件的来源和发生,事件ID,等等。
右键单击一类事件日志的日志进行一些操作。例如,我们可以选择另存为事件;将;出口事件日志类别;打开保存的日志,用于导入现有的事件日志记录;如果太多,为释放更多的空间,我们可以选择选项来清除日志;删除所有记录;和管理员需要找到许多记录他们所需要的信息,可以使用当前日志 筛选;功能,根据事件等级、事件ID、关键词和用户信息的筛选(图3)。
