用Windows2000安全審核讓入侵者顯形

有時候你是否想知道在你的主機或服務器上發(fā)生的事情——誰來訪問過？其實Windows 2000給我們提供了一項非常有用的功能：安全審核功能。安全審核可以用日志的形式記錄好幾種與安全相關的事件，你可以使用其中的信息來生成一個有規(guī)律活動的概要文件，發(fā)現和跟蹤可疑事件，并留下關于某一侵入者活動的有效法律證據。
    打開審核策略
    Windows 2000的默認安裝沒有打開任何安全審核，所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應的審核。系統(tǒng)提供了九類可以審核的事件，對于每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核(如圖1)。 　　
    策略更改：安全策略更改，包括特權指派、審核策略修改和信任關系修改。這一類必須同時審核它的成功或失敗事件。
    登錄事件：對本地計算機的交互式登錄或網絡連接。這一類必須同時審核它的成功和失敗事件。
    對象訪問：必須啟用它以允許審核特定的對象，這一類需要審核它的失敗事件。
    過程追蹤：詳細跟蹤進程調用、重復進程句柄和進程終止，這一類可以根據需要選用。
    目錄服務訪問：記錄對Active Directory的訪問，這一類需要審核它的失敗事件。
    特權使用：某一特權的使用；專用特權的指派，這一類需要審核它的失敗事件。
    系統(tǒng)事件：與安全(如系統(tǒng)關閉和重新啟動)有關的事件；影響安全日志的事件，這一類必須同時審核它的成功和失敗事件。
    賬戶登錄事件：驗證(賬戶有效性)通過網絡對本地計算機的訪問，這一類必須同時審核它的成功和失敗事件。
    賬戶管理：創(chuàng)建、修改或刪除用戶和組，進行密碼更改，這一類必須同時審核它的成功和失敗事件。
    打開以上的審核后，當有人嘗試對你的系統(tǒng)進行某些方式(如嘗試用戶密碼，改變賬戶策略，未經許可的文件訪問等等)入侵的時候，都會被安全審核記錄下來，存放在“事件查看器”中的安全日志中。
    另外在“本地安全策略”中還可開啟賬戶策略，如在賬戶鎖定策略中設定，賬戶鎖定閥值為三次(那么當三次無效登錄將鎖定)，然后將賬戶鎖定時間設定為30分鐘，甚至更長。這樣，黑客想要攻擊你，一天24小時試密碼也試不了幾次，而且還要冒著被記錄追蹤的危險。
    審核策略設置完成后，需要重新啟動計算機才能生效。這里需要說明的是，審核項目既不能太多，也不能太少。如果太少的話，你如果想查看黑客攻擊的跡象卻發(fā)現沒有記錄，那就沒辦法了，但是審核項目如果太多，不僅會占用大量的系統(tǒng)資源，而且你也可能根本沒空去全部看完那些安全日志，這樣就失去了審核的意義。