本機稽核

by Joseph Wu 28. March 2011 00:00

今天研究的本機稽核設定,在此分享給大家。

首先,是本機稽核,有使用過AD 的朋友一定不陌生Group Policy Mangement,在本機設定時,是使用 Local Security Policy,啟動稽核原則。在檢視部份,和網域機稽核一樣,是使用event viewer的工具進行的。設定如下:

1、按開啟→系統管理工具→本機安全性原則

     2011-03-27_214156

2、在左邊的panel中點選Local Policies →Audit Policy ;接著在右邊的panel中,點選Audit logon events。(在此範例中是針對失敗的登入進行稽核)

     2011-03-27_234121

3、接著我們先核意登入失敗,然後再打開event logs檢查,果然發現了event id=4625的稽核。

     2011-03-27_234110

4、打開內容後,我們可以檢查一些詳細資訊,比方說,是使用什麼帳號登入錯誤,在什麼時間,使用什麼ip位址……等。

     2011-03-27_234056

5、皆著我們重複2~4步驟,但這次,我們使用比較進階的稽核原則。(ex: 此範例是使用帳戶管理。如下:

     (1)按下圖點選至正確位置

     2011-03-27_235252

     (2)按下 ctrl + alt + delete,點選修改密碼,接著我們刻意讓修改密碼失敗。打開event viewer,即可發現稽核事件。

     2011-03-27_214235

     (3)一樣在此可以檢查錯誤的詳細資訊。

     2011-03-27_214253

 

稽核方式千變萬化,端看SA是想要知道什麼樣的訊息,或者是利用稽核來做安全性控管、釣魚……等等。

Tags: , ,

Windows Server

Add comment




  Country flag
biuquote
  • Comment
  • Preview
Loading






關於我們

這裡是由一群熟悉 Microsoft IT 技術的工程師所共同分享技術文章的部落格,除了定期分享工作上的技術經驗,我們也提供專業的技術顧問諮詢服務,有任何疑難雜症都歡迎與我們聯絡!

  • 陳冠龍(Owen)
  • 02-2322-2480 # 33
  • 陳昌賢(Mars)
  • 02-2322-2480 # 16
  • 有任何的建議或問題,請來信 [email protected]

※ 學習資源:
    2016/3/9 - 你所不知道的 Microsoft Azure 雲端採購技巧
    (講者:多奇數位技術總監 - Will 保哥)

最新消息

企業上雲端會是未來趨勢

微軟主打 2 種公有雲平台

Office 365 & Azure

有興趣皆可來電 or E-Mail 詢問

Calendar

<<  November 2024  >>
MoTuWeThFrSaSu
28293031123
45678910
11121314151617
18192021222324
2526272829301
2345678

View posts in large calendar