Windows审核策略及事件查看器

实验二十一Windows审核策略及事件查看器班级：学号：姓名实验目的掌握Windows下审核策略的设置方法，了解审核策略的制定准则。掌握查看器查看审核日志和审核事件的一般方法。实验环境windowsServer2003虚拟机实验学时2学时，必做实验。实验内容1．审核策略2．使用事件查看器查看审核事件。实验步骤1．审核策略。安全审核是Windows2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。打开“本地安全设置”，设置审核策略如下：策略设置审核系统登陆事件成功，失败审核帐户管理成功，失败审核登陆事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用成功，失败审核系统事件成功，失败2．审核对特定文件或文件夹的访问。创建一个Audit文件夹，在该文件夹下创建一个文件Audit.txt，修改该文件的审核记录（右击该文件夹夹，在弹出对话框中，选择【属性】-【安全】-【高级】-【审核】，添加需要审核的用户或组，以及需要审核的项目），对用户组Everyone审核；创建/写入数据、删除、更改权限的成功和失败事件。然后Audit文件夹的Everyone权限为读权限，删除其他权限。使用普通用户访问该文件夹，并进行浏览、开打、修改和删除等操作。3．打开事件查看器，查看日志的内容分析与思考