Windows 2000安全性稽核讓入侵者無處遁形

　　作為一個網管員，你是否知道在你的主機或伺服器上發生的事情——誰來訪問過？他們都做過些什嗎？目的是什嗎？什嗎？你不知道！其實Windows 2000給我們提供了一項安全性稽核功能，我們做管理員這行的，最需要熟悉的就是這一功能了，否則你怎麼管呢？ 安全性稽核可以用日誌的形式記錄好幾種與安全相關的事件，你可以使用其中的資訊來產生一個有規律活動的概要檔案，發現和跟蹤可疑事件，並留下關於某一侵入者活動的有效法律證據。

　　開啟稽核原則

　　Windows 2000的預設安裝沒有開啟任何安全性稽核，所以需要進入[我的電腦]→[控制台]→[管理工具]→[本地安全性原則]→[稽核原則]中開啟相應的審核。系統提供了九類可以審核的事件，對於每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核。

　　策略更改：安全性原則更改，包括特權指派、稽核原則修改和信任關係修改。這一類必須同時審核它的成功或失敗事件。

　　登入事件：對本機電腦的互動式登入或網路連接。這一類必須同時審核它的成功和失敗事件。

　　對象訪問：必須啟用它以允許審核特定的對象，這一類需要審核它的失敗事件。

　　過程追蹤：詳細跟蹤進程調用、重複進程控制代碼和進程終止，這一類可以根據需要選用。

　　目錄服務訪問：記錄對Active Directory的訪問，這一類需要審核它的失敗事件。

　　特權使用：某一特權的使用；專用特權的指派，這一類需要審核它的失敗事件。

　　系統事件：與安全(如系統關閉和重新啟動)有關的事件；影響安全日誌的事件，這一類必須同時審核它的成功和失敗事件。

　　賬戶登入事件：驗證(賬戶有效性)通過網路對本機電腦的訪問，這一類必須同時審核它的成功和失敗事件。