关于Windows的“审核”

　　每当用户执行了指定的某些操作，审核日志就会记录一个审核项。例如，修改文件或策略(Policy)可以触发一个审核项。审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间。您可以审核操作中的成功尝试和失败尝试。 计算机上的操作系统和应用程序的状态是动态变化的。例如，有时可能需要临时更改安全级别，以便管理员立即解决管理问题或网络问题。这些更改经常会被忘记，并且永远不会撤销。这说明计算机可能不再满足企业安全的要求。 　　作为企业风险管理项目的一部分，定期分析可以使管理员跟踪并确保每个计算机有足够的安全级别。分析的重点是专门指定的、与安全有关的所有系统方面的信息。这使管理员可以调整安全级别，而且最重要的是，可以检测到系统中随着时间的推移而有可能产生的所有安全缺陷。 　　安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵，正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。 　　通常，失败日志比成功日志更有意义，因为失败通常说明有错误发生。例如，如果用户成功登录到系统，一般认为这是正常的。然而，如果用户多次尝试都未能成功登录到系统，则可能说明有人正试图使用他人的用户 ID 侵入系统。事件日志记录了系统上发生的事件。安全日志记录了审核事件。组策略的“事件日志”容器用于定义与应用程序、安全性和系统事件日志相关的属性，例如日志大小的最大值、每个日志的访问权限以及保留设置和方法。 关于审核策略的全文介绍及示例请看这篇文章：http://www.microsoft.com/china/technet/security/guidance/secmod50.mspx
关于Windows 2000安全审核的使用请参看这篇文章(KB300549)： http://search.microsoft.com/search/info.aspx?u=http%3A%2F%2Fsupport.microsoft.com%2Fdefault.aspx%3Fscid%3Dkb%3Bzh-cn%3B300549&n=2&na=51&c=10&fp=3&st=b&na=88&View=zh-cn&qu=%e5%ae%a1%e6%a0%b8
Windows XP的对象访问审核设置与Windows 2000稍有区别，请参看(KB310399)：http://support.microsoft.com/default.aspx?scid=kb;zh-cn;310399
关于审核Windows 2000的注册表项，请参看(KB315416)：http://search.microsoft.com/search/info.aspx?u=http%3A%2F%2Fsupport.microsoft.com%2Fdefault.aspx%3Fscid%3Dkb%3Bzh-cn%3B315416&n=5&na=51&c=10&fp=3&st=b&na=88&View=zh-cn&qu=%e5%ae%a1%e6%a0%b8 　　审核功能是Windows的一个细节功能，也是后台功能，往往被人们所忽视，但是作为一个安全可靠的系统来说，背后的管理人员和审核的功劳是不可磨灭的。