如何监视未经授权的用户访问

本文介绍如何监视未经授权的用户对您的系统的访问。 有两个主要步骤： 启用安全审核和查看安全日志。 要知道，不同的系统有不同的安全需要，而且安全性是一个复杂的话题。 任何在您的系统上建立了安全审核的用户都必须被指定到管理组，或被授予安全权限和特权。

如何启用安全审核

1. 单击开始，单击运行，键入 mmc ，然后单击确定。
   
2. 在控制台菜单上，单击“添加/删除管理单元”，然后单击添加。
   
3. 在“管理单元”下，单击组策略，然后单击添加。
   
4. 在“选择组策略对象”框中，单击本地计算机，单击完成，单击关闭，然后单击确定。
   
5. 在本地计算机策略框中，单击计算机配置，单击 Windows 设置，单击安全设置，单击本地策略，然后单击审核策略。
   
6. 在详细信息窗格中，单击“审核登录事件”。
   
7. 单击操作，单击安全性，选择“失败”，然后单击确定。

如何查看安全日志

1. 单击开始，指向设置，指向控制面板，再指向管理工具，然后单击“事件查看器”。
   
2. 在控制台树中，单击“安全日志”。
   
3. 在详细信息窗格中查找与要查看的事件有关的信息，然后双击该事件。

如何解决可能遇到的问题

• 如果您的计算机连接在一个网络中，则网络策略可能会限制或禁用安全日志。
  
• 安全日志的大小有限制；所以在选择要审核的事件时须仔细，并要考虑想给安全日志分配多大磁盘空间。
  
• 如果在一台远程计算机上启用了安全审核，则可以用“事件查看器”远程查看其事件日志。 以“作者”模式启动一个 Microsoft 管理控制台 (MMC)，然后将“事件查看器”添加到控制台中。 当提示您指定该管理单元将管理哪台计算机时，单击“另一台计算机”，然后键入远程计算机的名称。
  
• 工作站、成员服务器和域控制器的安全审核只能由域管理员远程启用。 为此，请创建一个部门，将适当的计算机帐户添加到该部门，然后使用“Active Directory 用户和计算机”创建一个策略来启用安全审核。

参考

有关建立审核策略和安全审核的其他信息，请查看 Microsoft Web 站点上的 Microsoft Windows 2000 Resource Kit：

http://www.microsoft.com/windows2000/techinfo/reskit/en/default.asp

有关可出现在安全日志中的事件的其他信息，请单击下面的文章编号以查看 Microsoft 知识库中的文章：

299475 Windows 2000 Security Event Descriptions (Part 1 of 2)（Windows 2000 安全事件描述（第 1 部分，共 2 部分））

301677 Windows 2000 Security Event Descriptions (Part 2 of 2)（Windows 2000 安全事件描述（第 2 部分，共 2 部分））

Tags：