- 相关软件
>监视与安全相关的事件 创建者:webmaster 更新时间:2005-10-21 00:23监视与安全相关的事件是非常重要的,因为这样可以了解是否对安全策略或其他对象进行了更改、谁进行的更改以及何时更改的。通过设置title=查看定义
href="HELP=glossary.hlp TOPIC=gls_auditing">审核策略,可以监视与安全相关的事件。审核策略是由为各个id=wPopup title=查看定义
href="HELP=glossary.hlp TOPIC=security_event">安全事件类别配置的所有审核设置组成的。监视与安全相关的事件的一些最常见任务有href="MS-ITS:ctasks.chm::/ctasks018.htm#one_local">定义或修改本地计算机中事件类别的审核策略设置、id=specLoc
href="MS-ITS:ctasks.chm::/ctasks018.htm#one_domain">定义或修改组织中事件类别的审核策略设置以及id=specLoc
href="MS-ITS:ctasks.chm::/ctasks018.htm#two">查看安全日志。有关审核与安全相关的事件的其他任务的详细信息,请参阅id=specLoc href="MS-ITS:audit.chm::/sag_SEprocsAuditing.htm">如何。
name=one_local>定义或修改本地计算机中事件类别的审核策略设置
本地安全策略。
- 在控制台树中,单击“审核策略”。
位置
href="#">
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">
- 在控制台树中,单击“审核策略”。
- 在详细信息窗格中,双击要更改审核策略设置的事件类别。
- 执行以下一个或两个操作,然后单击“确定”。
- 要审核成功的尝试,请选择“成功”复选框。
- 要审核未成功的尝试,请选择“失败”复选框。
- 要审核成功的尝试,请选择“成功”复选框。
要执行该过程,您必须是本地计算机 href="MS-ITS:C:\WINDOWS\Help\localsec.chm::/lsm_local_groups.htm#administrators_bkmrk">Administrators 组的成员,或者您必须被href="ms-its:C:\WINDOWS\Help\ctasks.chm::/help=glossary.hlp topic=gls_delegation">委派适当的权限。如果将计算机加入域,id=specloc
href="MS-ITS:C:\WINDOWS\Help\adconcepts.chm::/sag_adgroups_9builtin_intro.htm#domain_admins_bkmrk">Domain Admins 组的成员可能也可以执行这个过程。作为安全性的最佳操作,可以考虑使用href="MS-ITS:C:\WINDOWS\Help\adconcepts.chm::/ad_runas.htm">运行方式来执行这个过程。class=anything id=para10>
要打开“本地安全策略”,请单击“开始”,指向“设置”,单击“控制面板”,双击“管理工具”,再双击“本地安全策略”。class=anything id=localsec>
- 要审核对象访问,请通过执行上面的步骤启用审核对象访问事件类别。然后,启用特定对象的审核。有关如何启用对某个对象的审核的信息,请参阅id=specLoc
href="MS-ITS:audit.chm::/acl_audit_file_folder.htm">应用或修改本地文件或文件夹的审核策略设置或id=specLoc
href="MS-ITS:audit.chm::/audit_object_domain.htm">使用组策略应用或修改对象的审核策略设置。 - 打开 href="EXEC=,dsa.msc CHM=mmc.chm FILE=alt_url_snapin.htm">
src="ms-its:c:\windows\help\UAshared.chm::/shortcutCold.gif">class=space>Active Directory 用户和计算机。
- 右键单击控制台树中要设置组策略的域或组织单位。
- 单击“属性”,然后单击“组策略”选项卡。
- 单击“编辑”打开要编辑的组策略对象 (GPO)。也可单击“新建”创建新的 GPO,然后单击“编辑”。
- 在控制台树中,单击“审核策略”。
href="#">
src="ms-its:c:\windows\help\UAshared.chm::/plusCold.gif">style="WIDTH: 0px">位置
- 在详细信息窗格中,双击要更改审核策略设置的事件类别。
- 如果是首次定义这种事件类别的审核策略设置,请选中“定义这些策略设置”复选框。
- 执行以下一个或两个操作,然后单击“确定”。
- 要审核成功的尝试,请选择“成功”复选框。
- 要审核未成功的尝试,请选择“失败”复选框。
- 要审核成功的尝试,请选择“成功”复选框。
若要执行此过程,您必须是 Active Directory 中 href="MS-ITS:C:\WINDOWS\Help\adconcepts.chm::/sag_adgroups_9builtin_intro.htm#domain_admins_bkmrk">Domain Admins 组或 href="MS-ITS:C:\WINDOWS\Help\adconcepts.chm::/sag_adgroups_9builtin_intro.htm#enterprise_admins_bkmrk">Enterprise Admins 组的成员,或者您必须被href="ms-its:C:\WINDOWS\Help\ctasks.chm::/help=glossary.hlp topic=gls_delegation">委派了适当的权限。作为安全性的最佳操作,可以考虑使用id=specloc
href="MS-ITS:C:\WINDOWS\Help\adconcepts.chm::/ad_runas.htm">运行方式来执行这个过程。class=anything id=AD_Domain_Admins_withEA>
要打开“Active Directory 用户和计算机”,请单击“开始”,指向“设置”,然后单击“控制面板”,双击“管理工具”,再双击“Active Directory 用户和计算机”。class=anything id=ADConcepts1>
- 如果位于已加入到域的服务器或工作站上,则可打开“Active Directory 用户和计算机”,方法是单击“开始”、“运行”,键入 mmc,然后单击“确定”。单击“文件”菜单上的“添加/删除管理单元”,单击“添加”,双击“Active Directory 用户和计算机”,单击“关闭”,然后单击“确定”。
- 要审核对象访问,请通过执行上面的步骤启用审核对象访问事件类别。然后,启用特定对象的审核。有关如何启用对某个对象的审核的信息,请参阅id=specLoc
href="MS-ITS:audit.chm::/acl_audit_file_folder.htm">应用或修改本地文件或文件夹的审核策略设置或id=specLoc
href="MS-ITS:audit.chm::/audit_object_domain.htm">使用组策略应用或修改对象的审核策略设置。 - 打开 href="EXEC=,eventvwr.msc,/s CHM=mmc.chm FILE=alt_url_snapin.htm">
class=shortcut
src="ms-its:c:\windows\help\UAshared.chm::/shortcutCold.gif">class=space>事件查看器。
- 在控制台树中,单击“安全性”。详细信息窗格列出了各个安全性事件。
- 在详细信息窗格中,双击某个事件可查看其更详细的信息。
- 您必须作为 Adiministrator 组的成员登录,或者必须在“组策略”中被授予“管理审核和安全日志”权限,才能执行此过程。
要打开“事件查看器”,请单击“开始”,指向“设置”,单击“控制面板”,双击“管理工具”,再双击“事件查看器”。class=anything id=event>
- 有关安全性事件的详细信息,请参阅 href="http://go.microsoft.com/fwlink/?LinkId=101" target=_new>Microsoft Windows 资源工具包网站中的“Security Events”(安全性事件)。class=printOnly>。(http://www.microsoft.com/)
src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意
定义或修改组织中事件类别的审核策略设置
src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意
查看安全日志
src="ms-its:c:\windows\help\UAshared.chm::/note.gif"> 注意
本页查看次数: