企业安全管理的六个关键实践

    在Windows NT、XP、Windows2000、Vista和Windows7中，默认情况下，Windows的审计日志是关闭的。Windows Server 2003和更高版本有一些审计日志功能在默认情况下是打开的，可以被记录的事情都显示在图1.管理员可以打开所有或某种可用类别的安全日志记录并且可以通过直接指定对象访问注册表、目录和文件系统设置额外的安全记录。甚至可以使用组策略（本机的配置，安全性，应用程序的安装和脚本库的实用程序）为Windows 2000或Windows Server 2003域的所有服务器和台式机设定审计要求。

    什么时候使用Windows Server 2003,了解记录什么是很重要的，因为Windows Server 2003默认策略值记录了只有小数目的活动。不用说，打开所有的日志类别也是不合适的。例如，在Windows安全审核，分类审核过程跟踪将不适用于大多数生产系统，因为它记录了每一个过程活动中的每一个位，而对于正常驱动器配置和审计日志审查来说，则存在着过多的信息。然而，在开发环境或者当审查定制软件以确定它说了什么做了什么时，开启审核过程追踪可能为开发商排除故障代码或分析检查它提供了必要信息的数量。

    记录在每一个Windows NT（及更高版本）计算机的特殊本地安全事件日志的审核事件是配置审核的安全事件。事件日志位于%WINDIR% SYSTEM32 config文件夹下。除了安全事件，许多可能会提供安全性或活动跟踪信息的其他事件也会记录到应用程序日志、系统日志或者Windows 2000和更高版本的域控制器--DNS服务器日志、目录服务日志、或文件复制服务日志中。

    此外，许多进程提供额外的日志记录功能。例如，如果安装了DHCP服务，它也可以被配置为记录的附加信息，例如当它租用一个地址，在域中它是否被授权，以及网络中的另一台DHCP服务器是否被发现。这些事件不会记录在安全事件日志，而是DHCP事件记录到%WINDIR% SYSTEM32 DHCP.

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!