本文介绍如何监视未经授权的用户对您的系统的访问。 有两个主要步骤: 启用安全审核和查看安全日志。 要知道,不同的系统有不同的安全需要,而且安全性是一个复杂的话题。 任何在您的系统上建立了安全审核的用户都必须被指定到管理组,或被授予安全权限和特权。
如何启用安全审核
单击开始,单击运行,键入 mmc ,然后单击确定。
在控制台菜单上,单击“添加/删除管理单元”,然后单击添加。
在“管理单元”下,单击组策略,然后单击添加。
在“选择组策略对象”框中,单击本地计算机,单击完成,单击关闭,然后单击确定。
在本地计算机策略框中,单击计算机配置,单击 Windows 设置,单击安全设置,单击本地策略,然后单击审核策略。
在详细信息窗格中,单击“审核登录事件”。
单击操作,单击安全性,选择“失败”,然后单击确定。
如何查看安全日志
单击开始,指向设置,指向控制面板,再指向管理工具,然后单击“事件查看器”。
在控制台树中,单击“安全日志”。
在详细信息窗格中查找与要查看的事件有关的信息,然后双击该事件。
如何解决可能遇到的问题
如果您的计算机连接在一个网络中,则网络策略可能会限制或禁用安全日志。
安全日志的大小有限制;所以在选择要审核的事件时须仔细,并要考虑想给安全日志分配多大磁盘空间。
如果在一台远程计算机上启用了安全审核,则可以用“事件查看器”远程查看其事件日志。 以“作者”模式启动一个 Microsoft 管理控制台 (MMC),然后将“事件查看器”添加到控制台中。 当提示您指定该管理单元将管理哪台计算机时,单击“另一台计算机”,然后键入远程计算机的名称。
工作站、成员服务器和域控制器的安全审核只能由域管理员远程启用。 为此,请创建一个部门,将适当的计算机帐户添加到该部门,然后使用“Active Directory 用户和计算机”创建一个策略来启用安全审核。
参考
有关建立审核策略和安全审核的其他信息,请查看 Microsoft Web 站点上的 Microsoft windows 2000 Resource Kit:
http://www.microsoft.com/windows2000/techinfo/reskit/en/default.ASP
有关可出现在安全日志中的事件的其他信息,请单击下面的文章编号以查看 Microsoft 知识库中的文章:
299475 Windows 2000 Security Event Descriptions (Part 1 of 2)(Windows 2000 安全事件描述(第 1 部分,共 2 部分))
301677 Windows 2000 Security Event Descriptions (Part 2 of 2)(Windows 2000 安全事件描述(第 2 部分,共 2 部分))
(出处:http://www.sheup.com)