[设计]本地文件和文件夹的基础审核

超过550位TechRepublic的成员参与了我们的Windows 2000文件及文件夹审核测验。看看他们中有多少人知道哪些日志包含了已被记录的审核事件，以及怎样审核文件和文件夹的访问。

跟踪对未经授权的敏感数据的访问，对于任何规模的组织来说这都是一个可行的安全策略。Windows 2000允许你通过审核本地文件和文件夹的访问来完成这一步。为了检测我们的成员对这一重要的安全特性的有关知识了解多少，我们举行了一个测验，这个测验包括五个问题。超过550个TechRepublic成员参与了我们的快捷随堂测验。关于他们是怎样做的，这里有一个纲要。如果是你，你会做得比他们更好吗？

监控文件和文件夹的访问

不幸的是，由于印刷工的问题，这些问题的正确答案不太清晰。被列出的在测验答案页的正确答案是审核对象方针。由于没有审核对象方针事件，它应该已经看过审核对象访问。由于这个错误，我并不认可测试的结果，也就是在图表A中所显示的不是完全正确的。

图表A

那些选择了“审核目标方针”这一答案的人可能是因为这个答案最接近“审核目标访问”才认为它是正确的。那些选择“审核优先权的使用”这一答案的人则可能会认为，在列出的答案中，这是最正确的真实情况。为了理清一些混乱的想法，下面的清单描述了你可以审核的每一个事件：

• 审核帐目登录上网事件允许你跟踪工作站上的成功和不成功的登录上网。
• 审核帐目管理允许你在发生某些变化的时候进行跟踪，还允许你跟踪本地用户的帐号，例如开设一个帐号，删除一个帐号，修改一个帐号，使一个帐号生效或失效，或者修改密码。
• 审核目录服务访问允许你跟踪对一个Active Directory 目标的访问，这个目标有它自己的“系统访问控制清单”（SACL），它只用于跟踪Active Directory 中主要的事件。在ACL，或　DACL，　SACL上的this TechRepublic article中你可以得到更多的信息。
• 审核登录上网事件允许你在用户登录成功或不成功，退出登录，或与审核工作站建立连接的时候进行跟踪。你最想的可能是审核不成功的登录。
• 审核目标访问允许你跟踪对一个目标的成功或不成功的访问，并且为这个目标配置了一个SACL。这个访问可以包括一些文件，文件夹，甚至是注册码。
• 审核政策的改变允许你跟踪审核或大家所依赖的政策的改变，以及用户权利的分配。
• 审核优先权的使用允许你在一个用户行使它的用户权利的时候进行跟踪。
• 审核过程跟踪允许你跟踪系统程序，例如什么时候一个应用程序开始执行了。
• 审核系统事件允许你在工作站重新启动或者关闭的时候，或者有什么事影响到系统的安全或安全登录的时候进行跟踪。

为了完成审核文件和文件夹访问的用法说明，看看Brien Posey在TechRepublic上的文章“通过审核本地文件和文件夹来提高Windows 2000 的安全性”。

 

试图监控失败的和成功的访问

图表B

正确的答案是“否”，而在参与了这个测验的人当中，89%都知道，就像在图表B中所显示的。每一个审核方针都可以被配置来跟踪成功的、失败的、两者都不的、或者两者都是的访问。