Windows安全审计详解

1、第1步：如图4-61所示，在【组策略编辑器】窗口中，逐级展开左侧窗口中的【计算机配置/Windows设置/安全设置/本地策略】分支，然后在该分支下选择【审核策略】选项。双击【审核对象访问】选项，在弹出的对话框（图4-62）中将【本地策略设置】框内的【成功】和【失败】复选框都打上勾选标记，然后单击【确定】按钮。审核是基于成功和失败两种情况的。成功是用于记录哪些用户正常地访问了文件，而失败则指出哪些人在没有正确的权限情况下试图访问文件。这有可能是攻击造成的结果，但也有可能是文件系统权限设置得不正确所导致的。推荐要审核的项目是：策略更改、登录事件、对象访问、目录服务访问、特权使用、系统事件、账户登录事件。注意：NTFS文件系统的支持审核功能，FAT文件系统不支持审核功能。

2、第2步：右键单击想要审核的C:\Inetpub文件夹，选择右键菜单中的【属性】，在弹出的对话框中选择【安全】选项卡，如图4-52所示。注意：必须是管理员组成员或者在组策略中被授权有“管理审核和安全日志”权限的用户才可以审核文件或文件夹。审核文件或文件夹之前，必须启用图4-61中右侧窗口的“审核对象访问”。否则，当设置完文件或文件夹审核时会返回一个错误消息，并且文件或文件夹都没有被审核。第3步：在图4-52中，单击【高级】按钮，然后在弹出的对话框（图4-63）中选择【审核】选项卡。如果要对一个新组或用户设置审核，可以在图4-63中单击【添加】按钮，然后在弹出的对话框（图4-64）中的【名称】框中输入新用户名，然后单击【确定】按钮打开【Inetpub的审核项目】对话框（图4-65）。