Windows 2008システム監査機能の魔法

Windows 2008システムを使用しているユーザーは、Windows 2008が優れたシステムセキュリティ、高いインテリジェンス、および優れたセキュリティパフォーマンスを備えていることを知っているでしょう。 windows2008システムをプレイするのが良いでしょう。まず、Windows 2008のシステム監査機能の魅力的な機能を見てみましょう。

設定の監査を有効にする

Windows Server 2008システムの監査機能はデフォルトでは有効になっていません。特定のシステムイベントに対して監査を有効にして設定する必要があります。この機能は、同じ種類のシステムイベントを監視および記録しますネットワーク管理者は、対応するシステムのログレコードを将来開くことによって、監査機能の監視結果を表示できます。監査機能は、サーバシステムの運用状況を追跡・監視するだけでなく、サーバシステムの運用状況に応じて運用上の不具合を迅速に解消することができます。もちろん、監査機能を有効にするとサーバーシステムの貴重なリソースが消費され、サーバーシステムの実行パフォーマンスが低下することがあるため、Windows Server 2008システムでは監査機能を節約するためにスペースリソースを解放する必要があります。結果の監視と記録このため、サーバーシステムスペースのリソースが限られている場合は、監査機能を慎重に使用して、この機能が特に重要な操作のみを監視および記録するようにする必要があります。

Windows Server 2008システムの監査機能を有効にして設定すると、システムのスーパー特権で対応するシステムにログインし、システムデスクトップの[スタート]メニューを開き、メニューから[選択]をクリックします。 [コントロールパネル]コマンドを設定し、[システムコントロールパネル]ポップアップウィンドウの[システムとメンテナンス]ボタンをクリックして、表示される管理ツールのリストにある[管理ツール]アイコンをクリックします。 [ローカルセキュリティポリシー]アイコンを探し、そのアイコンをダブルクリックして[ローカルセキュリティポリシーコンソール]ウィンドウを開きます。

次に、ターゲットコンソールウィンドウの左ペインで、[セキュリティ設定] - [ローカルポリシー] - [監査ポリシー]の順に選択し、[監査ポリシー]をクリックします。ポリシーと分岐オプションの右側のウィンドウに、Windows Server 2008システムには9つの監査ポリシーが含まれていることがわかります。つまり、サーバーシステムでは、9つの主要な操作を追跡および記録できます
図1ローカルセキュリティポリシー

監査プロセス追跡ポリシーは、サーバーシステムのバックグラウンドの実行やシャットダウン、ハンドルの処理など、サーバーシステムのデーモンの実行状態を追跡するために特に使用されます。ファイルコピーまたはシステムリソースアクセスのどちらを実行する場合でも、監査機能はそれらを追跡および記録し、監視および記録された内容を対応するシステムログファイルに自動的に保存できます。

監査アカウント管理ポリシーは、サーバーシステムのログインアカウントの変更、削除、追加を追跡および監視するために使用され、ユーザーアカウントの追加、ユーザーアカウントの操作の削除、およびユーザーアカウントの操作の変更の操作はすべて確認されます。機能は自動的に記録されます。

監査特権使用ポリシーは、ログアウト操作やサーバーシステムの実行中のログイン操作に加えて、ユーザーが実行したその他の特権操作を追跡および監視するために特に使用されますサーバーシステムのセキュリティに影響を与える特権。操作は監査機能レコードによってシステムのセキュリティログに保存されるため、ネットワーク管理者はログの内容に基づいてサーバーのセキュリティに影響する手がかりを簡単に見つけることができます。

さまざまな監査ポリシーが有効になっている場合、Windows Server 2008システムはさまざまな種類の操作を追跡および記録しますので、ネットワーク管理者はそれぞれのセキュリティ要件とサーバーシステムのパフォーマンスに応じて監査を有効にします。監査機能の役割が十分に活用されていないように、すべての監査戦略を盲目的に有効にするのではなく、戦略。
図2ログインイベントプロパティの監査

たとえば、サーバーシステムのログインステータスを追跡および監視して、LANに不正なログイン動作があるかどうかを確認したい場合は、マウスを直接使用できます。ここで監査ログインイベントポリシーをダブルクリックして、対応するポリシーのオプション設定ダイアログボックスを開き（図2を参照）、[成功]>;成功および[失敗]オプションを選択して、[OK]ボタンをクリックします。その結果、Windows Server 2008システムは、将来のローカルサーバーシステムのすべてのシステムログイン操作を自動的に追跡してログに記録し、ログインサーバーの正常な操作かログインサーバーの失敗した操作かに関係なく、イベントビューアで対応する操作を見つけることができます。記録し、これらのログイン操作の記録を注意深く分析すると、ローカルサーバーに不正なログインや不正な侵入があるかどうかを確認できます。

監査機能の記録を表示する

適切な監査ポリシーを有効にして設定すると、Windows Server 2008は自動的に特定の種類の操作を追跡して記録し、その記録を対応する操作に保存します。システムのログファイルが含まれています将来、ネットワーク管理者はログの内容に基づいてサーバーシステムにセキュリティ上の脅威があるかどうかを確認できます。監査機能によって記録されたログの内容を表示するときは、イベントビューア機能を使用して次の手順を実行する必要があります。

最初にスーパー管理者権限でWindows Server 2008システムに入ります。システムデスクトップの[スタート] - [プログラム] - [管理] - [サーバーマネージャ]コマンドをクリックして、対応するシステムのサーバーマネージャコンソールウィンドウを開きます。

次に、コンソールウィンドウの左側にある表示領域で、[診断]分岐オプションの上にマウスを置き、分岐オプションから[イベントビューア]をクリックします。/[Windowsログ]をクリックします。;サブアイテム、ターゲットサブアイテムの下に、 "Applications"、 "Safety"、 "Installer"、 "System"、 "Return Events"が表示されます。図3に示すようにイベントレコード、
図3サーバーマネージャ前12次ページ合計2ページzh-CN"],null,[1],zh-TW"]]]