安全审核内容有哪些(安全审核的内容是什么？)

作为管理员，我们对安全审计有了更好的理解。windows 2000为我们提供了安全审计功能。通过这个功能，我们可以知道主机或服务器上发生了什么。安全审计可以以日志的形式记录几个与安全相关的事件。我们可以使用这些信息来生成常规的活动配置文件，跟踪可疑事件，并留下关于入侵者活动的有效法律证据。

开放式审计政策

Windows 2000默认安装不打开任何安全审核，需要在进入【我的电脑】【控制面板】【管理工具】【本地安全策略】【审核策略】打开相应的审核。系统提供了九种可以批准的事件。对于每种类型，对可以指明是批准成功事件还是失败事件，或者两者都批准

策略更改：安全策略更改，包括权限分配、审核策略修改和信任关系修改。该类必须同时回顾其成功或失败事件。

登录事件：对本地计算机的交互式登录或网络连接本课程必须回顾其成功和失败事件。

对大象访问：必须使其允许审计特定的对大象，这需要审计其失败事件。

进程跟踪：详细跟踪进程调用、重复进程句柄和进程终止，可根据需要选择。

目录服务访问：记录了对活动目录的访问，需要审计其故障事件。

特权使用：特权的使用；特殊权限的分配，需要审核其失败事件。

系统事件：是与安全相关的事件(如系统关机重启)；影响安全日志的事件，安全日志必须审核其成功和失败事件。

帐户登录事件：验证(帐户有效性)对本地计算机通过网络的访问，并且该类必须同时审核其成功和失败事件。

帐户管理：创建、修改或删除用户和组，并更改密码。该类必须同时审核其成功和失败事件。

打开上面的审核后，当有人试图以某种方式入侵你的系统时(比如尝试用户密码、更改账号策略、未经授权的文件访问等)。)，它们将由安全审核记录并存储在事件查看器的安全日志中。

此外，可以在“本地安全策略”中打开帐户策略。例如，将帐户锁定阈值设置为三次(那么帐户在三次无效时将被锁定)，然后将帐户锁定时间设置为30分钟甚至更长。这样，黑客想攻击你，一天24小时都不能试几次密码，有被记录跟踪的风险。

审核策略设置完成后，需要重新启动计算机才能生效。这里需要注意的是，审计项目既不能太多，也不能太少。如果太少，如果你想查看黑客攻击的迹象却发现没有记录，那就没办法了。但是，如果审核项目太多，不仅会占用大量的系统资源，而且您可能根本没有时间阅读所有那些安全日志，从而失去了审核的意义。

对对文件和文件夹访问的审计

要在对，审核文件和文件夹访问，首先，被审核的文件或文件夹必须位于NTFS分区上，其次，必须按照上述方法打开对访问事件审核策略。如果满足上述条件，您可以审核对，的特定文件或文件夹，以及对的哪些用户或组指定了要审核的访问类型。

单击所选文件或文件夹的属性窗口的“安全性”页面上的[高级]按钮；在“审核”页面，点击【添加】按钮，选择要访问对文件或文件夹进行审核的用户，点击【确定】；在“审核项目”对对话框中，为要审核的事件选择“成功”或“失败”复选框如图2)，并在完成后选择“确定”。回到“访问控制设置”对对话框，默认情况下，对父文件夹所做的审核更改将应用到其子文件夹和文件。如果您不想将父文件夹所做的审核更改应用到当前选定的文件或文件夹，请清除复选框“允许来自父文件夹的可继承审核项目传播到此对象”如图3)。

审核结果的审查和维护

设置审核策略和审核事件后，审核结果会记录在安全日志中。事件查看器可以查看安全日志的内容，或者在日志中找到指定事件的详细信息。

在管理工具中运行事件查看器，并选择安全日志。右侧显示日志列表，以及每个条目的摘要信息如图4)。如果您在几次失败的审核后发现登录审核成功，您应该仔细检查这些日志信息。如果密码太简单，无法猜到，就需要增加密码的长度和复杂度。在这里，您可以查看每个事件的详细信息，也可以查找和过滤合格的事件。

随着审计事件的增加，安全日志文件的大小也会增加。默认情况下，日志文件的大小为512KB。当达到最大日志大小时，系统将覆盖7天前的事件。事实上，我们可以根据需要进行更改。右键单击“事件查看器”的“安全日志”项目，然后选择“属性”。在进入安全日志如图5)的属性窗口中，在“常规”选项卡页面上，网络管理员可以根据自己的实际需要修改系统的这些默认设置，以满足自己存储安全日志的需要。

在Windows 2000系统中使用审计策略不能受对用户的访问控制，但根据审计生成的安全日志，可以知道系统的哪些方面存在安全隐患以及系统资源的使用情况，从而为我们跟踪黑客提供了可靠的依据，并采取相应的防范措施，最大限度地减少系统的不安全因素，从而创建一个更加安全可靠的Windows 2000系统平台。