应用为上策略为本 组策略应用新境界(5)

　　文/逢逢

    强化审核，远离攻击

　　在缺省条件下，Windows 2003服务器没有启用任何一种安全审核手段，来保护服务器的安全，显然这会给服务器带来很大的安全隐患。为了避免服务器遭受攻击，你只要对服务器中的组策略“动动手脚”，就能启用好安全审核策略，保护好服务器的安全:

　　依次单击“开始”/“运行”命令，在弹出的系统运行框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开系统组策略编辑窗口;

　　将鼠标定位于其中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“审核策略”组策略分支上，在“审核策略”分支下面，你将看到有多种审核事件需要你指定，如图5所示;

图5

　　双击其中的“策略更改”项目，在弹出的设置窗口中，如果选中“成功”选项的话，那么服务器日后将会对所有事件的成功操作进行审核，要是选中“失败”选项的话，那么服务器日后将会对所有事件的失败操作进行审核;

　　为了能够及早知道服务器存在的安全隐患，我们通常需要对“系统事件”、“登录事件”、“帐户登录事件”、“帐户管理事件”的成功操作与失败操作分别进行审核，如此一来即使一些已经实施攻击、但没有攻击成功的操作记录，也会一一被服务器自动记录下来，以后我们仔细分析记录，就能查找出安全隐患，并及时采取补救措施确保服务器的安全了;对于“对象访问”事件、“目录服务访问”事件、“特权使用”事件等，一般只要审核它们的失败操作，就可以达到捕捉攻击记录的目的了。

　　一旦通过组策略分别对相关事件启用审核功能后，服务器日后将会把相关事件的审核记录全部保存到系统的“事件查看器”中，以后你只要及时打开日志内容，并对其中记录进行认真分析，就能查清服务器此时有没有受到攻击了。