by Joseph Wu
28. March 2011 00:00
今天研究的本機稽核設定,在此分享給大家。
首先,是本機稽核,有使用過AD 的朋友一定不陌生Group Policy Mangement,在本機設定時,是使用 Local Security Policy,啟動稽核原則。在檢視部份,和網域機稽核一樣,是使用event viewer的工具進行的。設定如下:
1、按開啟→系統管理工具→本機安全性原則
2、在左邊的panel中點選Local Policies →Audit Policy ;接著在右邊的panel中,點選Audit logon events。(在此範例中是針對失敗的登入進行稽核)
3、接著我們先核意登入失敗,然後再打開event logs檢查,果然發現了event id=4625的稽核。
4、打開內容後,我們可以檢查一些詳細資訊,比方說,是使用什麼帳號登入錯誤,在什麼時間,使用什麼ip位址……等。
5、皆著我們重複2~4步驟,但這次,我們使用比較進階的稽核原則。(ex: 此範例是使用帳戶管理。如下:
(1)按下圖點選至正確位置
(2)按下 ctrl + alt + delete,點選修改密碼,接著我們刻意讓修改密碼失敗。打開event viewer,即可發現稽核事件。
(3)一樣在此可以檢查錯誤的詳細資訊。
稽核方式千變萬化,端看SA是想要知道什麼樣的訊息,或者是利用稽核來做安全性控管、釣魚……等等。
Subscribe