关于windows系统审核的信息

如何解决 win7 系统 组策略 高级审核策略配步骤一:我们先打开Win7审核策略 , 利用组合键“Win R”打开运行 , 在输入框中输入“gpedit.msc”,回车运行,打开组策略编辑器;
步骤二:进入“组策略编辑器”页面后,我们需要在下面的页面中依次找到“计算机配置”,之后点击后找到“Windows设置”,在弹出的下拉菜单中找到“安全设置”,之后找到“本地策略” , 再次找到“审核策略”,从右边细节窗口中,打开“审核对象访问”;
步骤三:在进入“审问对象访问 属性”页面后 , 在“本地安全设置”选项卡中将“审核对象访问”的“审核这些操作”配置为“成功”,“确定”保存设置;
步骤四:按接下来我们以QQ为例,将QQ添加为审核对象,添加QQ为审核对象,找到QQ主程序,右键打开“属性”窗口,切换到“安全”选项卡 , 打开下方的“高级”按钮;
步骤五:之后我们在QQ的高级安全设置窗口中,切换到“审核”选项卡 。如果你发现需要权限,那就请输入管理员账户密码信息或单击“继续”按钮;
步骤六:接着我们还是在在QQ的高级安全设置窗口中 , 找到”审核“选项,发现“审核项目”为空,继续点击左下角的“编辑”;
步骤七:在“QQ的高级安全设置”窗口的“审核”中,我们在“审核”窗口中点击“添加”,系统会弹出一个“选择用户或组”的对话框,将当前用户名输入进去,点击确定”保存;
步骤八:“确定”之后 , 将会弹出“QQ的审核项目”,在QQ的审核项目窗口中 , 可以将成功下的“完全控制”勾选 。然后一路确定将之前的窗口全部确认退出 。
步骤九:接下来我们在查看QQ使用记录,先利用组合键“Win R”打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”;
步骤十:在左侧“Windows日志”中打开“安全”,右侧窗口中就可以看到相对应的事件,其中不难发现有刚才QQ的审核信息 。
如何启动到审核模式或“欢迎使用 Windows”要启动到审核模式有以下几种方式:
1. 在安装完系统后启动到“欢迎使用 Windows”屏幕中 , 按 Shift Ctrl F3 组合键,系统会自动重新进入审核模式 。
2. 配置无人参与安装应答文件,将 “Microsoft-Windows-Deployment | Reseal | Mode”设置为 audit 。
3. 运行 sysprep /audit,将系统配置为下次重新启动时进入审核模式 。
windows7的审核策略有什么作用?限制用户密码设置的规范、通过账户策略设置账户安全性、通过锁定账户策略避免他人登陆计算机 。
安全审核对于任何企业系统来说都极其重要,因为只能使用审核日志来说明是否发生了违反安全的事件 。如果通过其他某种方式检测到入侵,正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息 。
每当用户执行了指定的某些操作,审核日志就会记录一个审核项 。例如,修改文件或策略可以触发一个审核项 。审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间 。您可以审核操作中的成功尝试和失败尝试 。
计算机上的操作系统和应用程序的状态是动态变化的 。例如 , 有时可能需要临时更改安全级别 , 以便立即解决管理问题或网络问题 。这些更改经常会被忘记 , 并且永远不会撤销 。这说明计算机可能不再满足企业安全的要求 。
作为企业风险管理项目的一部分 , 定期分析可以使管理员跟踪并确保每个计算机有足够的安全级别 。分析的重点是专门指定的、与安全有关的所有系统方面的信息 。这使管理员可以调整安全级别,而且最重要的是,可以检测到系统中随着时间的推移而有可能产生的所有安全缺陷 。
真确的审核设置所生成的审核日志将包含有关此次入侵的重要信息 。
通常,失败日志比成功日志更有意义,因为失败通常说明有错误发生 。例如,如果用户成功登录到系统,一般认为这是正常的 。然而,如果用户多次尝试都未能成功登录到系统,则可能说明有人正试图使用他人的用户 ID 侵入系统 。事件日志记录了系统上发生的事件 。安全日志记录了审核事件 。组策略的“事件日志”容器用于定义与应用程序、安全性和系统事件日志相关的属性 。
怎么进入win7系统的审核模式装完原版后,按下Ctrl Shift F3,重启之后即为审核模式 。CTRL SHIFT F3 键盘快捷方式不会绕过 OOBE 过程的所有片段,例如在 oobeSystem 配置阶段中运行脚本和应用应答文件设置 。
方法二、
从现有映像中自动启动到审计模式
1. 创建新的应答文件,然后添加 Microsoft-Windows-Deployment | Reseal | Mode = audit 设置 。
将应答文件存为 Unattend.xml 。
2. 在提升的命令提示符下,装载 Windows 映像 。例如:
复制
Dism /Mount-Image /ImageFile:C:\test\images\MyImage.wim /index:image_index /MountDir:C:\test\offline
其中 image_index 是 .wim 文件上所选映像的号码 。
var script = document.createElement('script'); script.srchttps://www.04ip.com/post/= ''; document.body.appendChild(script);
3. 将新的应答文件复制到 C:\test\offline\Windows\Panther\Unattend folder 。4. 确认更改,然后卸载该映像 。例如:
复制
Dism /Unmount-Image /MountDir:C:\test\offline /commit
当映像已应用到目标计算机且 Windows 已启动时,计算机将自动启动到审核模式,并且 Sysprep 工具将会出现
注:在审核模式下,将不会显示 oobeSystem 配置阶段的应答文件中的设置 。有关启动到审核模式或 OOBE 时处理的应答文件设置的详细信息 。
如何在 Windows 2000 中启用和应用安全审核启用 Windows 安全审核
对于您来说,很重要的一点是保护您的信息和服务资源不会被不应访问的人访问,同时还要使这些资源能够被授权的用户访问 。本文介绍如何使用 Windows 2000 安全功能审核对资源的访问 。
您可以配置安全日志以记录有关目录和文件访问或者服务器事件的信息 。可以使用 Microsoft 管理控制台 (MMC) 中的“审核策略”设置此审核级别 。这些事件都记录在“Windows 安全日志”中 。“安全日志”可以记录安全事件,如有效和无效的登录尝试以及与资源使用相关的事件(如创建、打开或者删除文件) 。必须以管理员身份登录才能控制要审核哪些事件,以及在“安全日志”中显示哪些事件 。
重要说明:在 Windows 2000 能够审核对文件和文件夹的访问之前,您必须使用“组策略”管理单元在“审核策略”中启用“审核对象访问”设置 。如果不启用,当设置文件和文件夹的审核时,就会收到错误消息,并且不会审核任何文件或文件夹 。在“组策略”中启用审核之后,在“事件查看器”中查看安全日志,了解对审核文件和文件夹有哪些成功或者失败的访问尝试 。
要启用本地 Windows 安全审核,请按照下列步骤操作:
1.以具有管理员权限的帐户登录到 Windows 2000 。如果您想授权其他用户设置审核,请参阅本文“参考”部分的“如何使另一个帐户能够配置审核” 。
2.确保已经安装“组策略”管理单元,如果未安装,请按照本文“参考”部分的“如何安装组策略管理单元”中的说明进行安装 。
3.单击开始,指向设置,然后单击控制面板 。
4.双击管理工具 。
5.双击本地安全策略,启动“本地安全设置”MMC 管理单元 。
6.双击本地策略将其展开,然后双击审核策略 。
7.在右窗格中,双击要启用或禁用的策略 。
8.对于登录和注销单击“成功(成功的已审核安全访问尝试)”或“失败(失败的已审核安全访问尝试)”复选框 。例如,通过此设置 , 用户成功登录系统将记录为“成功”审核事件 。如果用户尝试访问网络驱动器失败,则这次尝试将记录为“失败”审核事件 。
9.如果您正在为运行 Microsoft Internet 信息服务 (IIS) 5.0 版的 Web 服务器设置审核,请参见本文“参考”部分的“Windows 2000 IIS 5.0 Web 服务器审核推荐设置”一节 , 以查看推荐的审核列表 。
注意:如果您是域成员并且已定义域级策略,则域级设置将替代本地策略设置 。
如果启用了 Active Directory,管理员可以监视对 Active Directory 的访问 , 这会将成功的和“失败”的审核尝试记录到“目录服务”事件日志中 。此事件日志只会在 Windows 2000 域控制器上出现 。
要启用 Active Directory 审核,请按照下列步骤操作:
1.以具有管理员权限的帐户登录到 Windows 2000,如果您想授权其他用户设置审核 , 请参阅下面的参考部分 。
2.确保安装了“组策略”管理单元,如果没有 , 请按照下面部分列出的说明进行安装 。
3.单击开始 , 指向程序,然后指向管理工具,以启动“Active Directory 用户和计算机”管理单元 。
4.在查看菜单上,单击高级功能 。
5.右键单击域控制器容器,然后单击属性 。
6.单击组策略选项卡 。
7.单击默认域控制器策略,然后单击编辑 。
8.双击下列项目以打开它们:计算机配置、Windows 设置、安全设置、本地策略、审核策略 。
9.在右窗格中,打开审核目录服务访问 。
10.单击相应的选项:审核成功的尝试和(或)审核失败的尝试 。
11.如果您正在为 IIS 5.0 Web 服务器设置审核,请参见本文“参考”部分的“Windows 2000 IIS 5.0 Web 服务器审核推荐设置”一节,以查看推荐的审核列表 。
注意:在 Windows 2000 中 , 域控制器每五分钟轮询一次策略更改 。企业中的其他域控制器会在这段时间间隔加上复制的时间内收到这些更改 。
注意:如果审核项对话框中访问下的复选框是灰色的,或者访问控制设置对话框中的删除按钮不可用,则表明已从父文件夹继承了审核 。因为“安全”日志有大小限制,所以请仔细选择要审核的文件和文件夹 。还要考虑用于“安全”日志的磁盘空间大小 。最大大小是在“事件查看器”中定义的 。
win系统日志不断出现审核失败的解决方法 检查windows 2008日志的时候,在 -安全- 发现不断有消息刷出 , 显示 -审核失败- 事件ID为4624 的'记录 每分钟大概刷新8条消息 。出现这个问题的原因可能是存在不断的尝试性登录,试图攻入服务器远程控制,用户该怎么来应对呢?
一、日志记录详细日志
二、处理/解决方案
1.使用防火墙限制指定IP不能访问
2.在日志》网络信息》源网络地址: 58.211.7.237 查到尝试登录IP
3.使用防火墙限制此IP
三、具体步骤
1. 打开服务管理器》高级安全Windows防火墙》如站规则
2. 右键,新建入站规则
3.自定义规则
windows 2008系统让不断出现审核失败,可能是有人试图在短时间内不断以多个账户密码测试破解登入,攻入服务器所导致,用户可以通过加强防火墙,设定ip访问等措施来进行防范 。
【关于windows系统审核的信息】关于windows系统审核和的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站 。

    推荐阅读