|
|
在默认状态下,安全日志在win7系统中是没有启用的。这是因为每个小时产生的安全日志大小都会有几kB、几十kB,甚至是几MB。这些大量生成的安全日志很容易就能把可用空间耗尽。所以,我们需要定期对日志进行清除。如果要启用安全日志,并对所有的安全事件敢审核,需要依次执行如下操作。
依次单击“开始”、“运行”,键人“mine/a”并单击“确定”按钮,在打开的“控制台”窗口中点击“文件”菜单中的“添加/删除管理单元”。
在弹出的“添加/删除管理单元”对话框中点击“添加”按钮。
接着,在“添加独立管理单元”中选择“组策略”并单击“添加”按钮。
在“选择组策略对象”窗口中,单击“完成”按钮结束设置最后,单击“关闭”、“确定”按钮返回到“控制台”窗口中。
对安全事件进行审核的方法是:
依次点击展开“本地计算机策略” — “Windows设置”—“安全设置”—“本地策略”—“审核策略”。
在右侧的窗格中,分别将登录事件、审核账户管理、审核账户登录事件等项打开,在其“厲性”对话框中点击勾选“成功”和“失败”选项即可。
在完成安全日志的启用,以及审核事件的设置后,当出现如下编号的日志事件时,就要小心了。
编号:529//登录用户名或密码错误
原因:当网络上人侵者试图用错误的用户名或密码登录时,就会出现这种错误。
在图中还可以看到来源的计算机名是什么,登录的类型、方式是什么,等等。这些都可以给反人侵带来有力的帮助,有时甚至这些都可以成为证据。 |
|
|
|
|
|
|
|
|
|
