Cara mengaktifkan dan menerapkan Audit keamanan dalam Windows 2000

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 300549 - Melihat produk di mana artikel ini berlaku.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Microsoft Support Lifecycle Policy.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Panduan instruksi langkah demi langkah ini menjelaskan cara mengaktifkan dan menerapkan Audit keamanan Windows.

Memungkinkan Audit keamanan Windows

Sangat penting bahwa Anda melindungi informasi Anda dan layanan sumber daya dari orang-orang yang seharusnya tidak memiliki akses kepada mereka, dan pada saat yang sama membuat sumber daya yang tersedia untuk pengguna yang sah. Artikel ini menjelaskan cara menggunakan fitur keamanan Windows 2000 untuk mengaudit akses ke sumber daya.

Anda dapat mengkonfigurasi log keamanan untuk merekam informasi tentang peristiwa akses atau server direktori dan file. Anda dapat mengatur tingkat audit dengan menggunakan Audit Kepolisian di konsol manajemen Microsoft (MMC). Kejadian ini tercatat dalam log Keamanan Windows. Log Keamanan dapat merekam peristiwa keamanan, seperti usaha logon yang sah dan tidak sah, serta peristiwa yang berkaitan dengan penggunaan sumber daya, seperti membuat, membuka, atau menghapus file. Anda harus logon sebagai administrator untuk mengontrol apa peristiwa diaudit dan ditampilkan dalam log keamanan.

PENTING: Sebelum Windows 2000 dapat mengaudit akses ke file dan folder, Anda harus menggunakan snap-in kebijakan grup untuk mengaktifkan pengaturan Audit objek akses dalam kebijakan Audit. Jika Anda tidak, Anda menerima pesan galat ketika Anda mengatur audit untuk file dan folder, dan tidak ada file atau folder diaudit. Setelah Anda mengaktifkan audit di kebijakan grup, lihat log Keamanan di penampil aktivitas untuk meninjau sukses atau gagal upaya untuk mengakses diaudit file dan folder.

Untuk mengaktifkan lokal Audit keamanan Windows:
  1. Logon ke Windows 2000 dengan account yang memiliki hak Administrator. Jika Anda ingin memberikan kepada pengguna lain hak untuk menetapkan audit, lihat bagian "Bagaimana untuk mengaktifkan lain Account untuk mengkonfigurasi audit" di bagian "Referensi" dari artikel ini.
  2. Memastikan bahwa snap-in kebijakan grup diinstal; Jika tidak diinstal, ikuti petunjuk dalam "Bagaimana untuk menginstal Group Snap-in kebijakan" bagian dalam bagian "Referensi" dari artikel ini untuk menginstalnya.
  3. Klik Mulai, arahkan ke Tataan, lalu klik Control Panel.
  4. Klik dua kali Alat administratif.
  5. Klik dua kali Kebijakan keamanan lokal untuk memulai snap-in MMC pengaturan keamanan lokal.
  6. Klik dua kali Kebijakan lokal untuk memperluas itu, dan kemudian klik dua kali Audit kebijakan.
  7. Dalam pane kanan, klik dua kali kebijakan yang ingin Anda mengaktifkan atau menonaktifkan.
  8. Klik Sukses (diaudit keamanan akses upaya yang berhasil) dan Gagal (diaudit keamanan akses upaya yang gagal) kotak centang untuk logon dan logoff. Misalnya, dengan pengaturan ini, pengguna sukses usaha untuk masuk ke sistem dicatat sebagai peristiwa Audit keberhasilan. Jika pengguna mencoba untuk mengakses pengandar jaringan dan gagal, usaha adalah log sebagai peristiwa Audit Kegagalan.
  9. Jika Anda menetapkan audit untuk Web server yang menjalankan layanan informasi Internet Microsoft (IIS) versi 5.0, lihat bagian "Rekomendasi untuk audit pada Web Server yang menjalankan Windows 2000 dan Internet Information Services 5.0" dalam bagian "Referensi" dari artikel ini untuk daftar disarankan audit.
CATATAN: Jika Anda adalah anggota domain, dan kebijakan tingkat domain didefinisikan, pengaturan tingkat domain menimpa pengaturan kebijakan lokal.

Jika Active Directory diaktifkan, administrator dapat memantau akses ke Active Directory, yang menyebabkan sukses dan "gagal" audit upaya untuk login ke layanan direktori log peristiwa. Log peristiwa ini terdapat hanya pada pengontrol domain Windows 2000.

Untuk mengaktifkan audit direktori aktif:
  1. Login ke Windows 2000 dengan account yang memiliki hak Administrator, jika Anda ingin memberikan orang lain yang mengatur audit hak lihat bagian referensi di bawah ini.
  2. Memastikan kelompok snap-in kebijakan terinstal, jika tidak diinstal ikuti petunjuk untuk menginstal itu tercantum dalam bagian di bawah ini
  3. Mulai aktif pengguna dan komputer direktori snap-in dengan mengklik Mulai, menunjuk Program, dan kemudian menunjuk ke Alat administratif.
  4. Pada Lihat menu, klik Fitur lanjutan.
  5. Klik kanan Kontroler domain wadah, dan kemudian klik Properti.
  6. Klik Kebijakan Grup tab.
  7. Klik Kebijakan kontroler Domain default, lalu klik Mengedit.
  8. Klik dua kali item berikut untuk membuka mereka: Konfigurasi komputer, Pengaturan Windows, Pengaturan keamananLokal Kebijakan, Audit kebijakan.
  9. Dalam pane kanan, membuka Audit direktori layanan akses.
  10. Klik pilihan tepat: baik Audit sukses usaha, Audit gagal usaha, atau keduanya.
  11. Jika Anda menetapkan audit untuk IIS 5.0 Web server, lihat bagian "Rekomendasi untuk audit pada Web Server yang menjalankan Windows 2000 dan Internet Information Services 5.0" dalam bagian "Referensi" dari artikel ini untuk daftar disarankan audit.
CATATAN: Pada Windows 2000, pengontrol domain polling untuk perubahan kebijakan setiap lima menit. Pengontrol domain lainnya di perusahaan menerima perubahan pada interval ini ditambah waktu replikasi.

CATATAN: Jika cek kotak di bawah Akses dalam Audit catatan kotak dialog teduh, atau jika Hapus tombol ini tidak tersedia di Pengaturan kontrol akses kotak dialog, audit telah mewarisi dari folder induk. Karena log Keamanan terbatas dalam ukuran, pilih berkas dan map yang ingin Anda menjadi diaudit dengan hati-hati. Juga mempertimbangkan jumlah ruang disk yang Anda bersedia untuk mengabdikan untuk log keamanan. Ukuran maksimum yang ditentukan di Peraga Peristiwa.

Audit peristiwa pada Windows 2000 Server

Pengaturan, melihat, mengubah, atau menghapus Windows File atau Folder audit

Anda mengatur audit untuk mendeteksi dan merekam peristiwa terkait keamanan, seperti ketika pengguna mencoba mengakses rahasia file atau folder. Ketika Anda melakukan audit objek, entri ditulis ke log Windows 2000 keamanan setiap kali objek diakses dengan cara tertentu. Anda menentukan mana objek untuk mengaudit, yang tindakan untuk melakukan audit, dan persis apa jenis tindakan diaudit. Setelah Anda membuat audit, Anda dapat melacak dari pengguna yang mengakses objek tertentu dan menganalisis pelanggaran keamanan. Jejak audit dapat menunjukkan yang dilakukan tindakan dan yang mencoba untuk melakukan tindakan yang tidak diperbolehkan.

Untuk mengatur audit:
  1. Jalankan Windows Explorer (klik Mulai, arahkan ke Program, arahkan ke Aksesoris, lalu klik Windows Explorer), dan kemudian cari berkas atau map yang Anda inginkan untuk melakukan audit.
  2. Klik kanan file atau folder, klik Properti, lalu klik Keamanan tab.
  3. Klik Lanjutan, lalu klik Audit tab.
  4. Lakukan salah satu berikut, berlaku sebagai berikut:
    1. Untuk mengatur audit untuk grup baru atau pengguna:
      1. Klik Tambahkan. Dalam Nama Ketik jenis nama pengguna yang Anda inginkan untuk melakukan audit.
      2. Klik Oke untuk secara otomatis terbuka Audit catatan kotak dialog.
    2. Untuk melihat atau mengubah audit untuk grup yang ada atau pengguna, klik nama, dan kemudian klik Lihat/Edit.
    3. Untuk menghapus audit untuk grup yang ada atau pengguna, klik nama, dan kemudian klik Hapus.
  5. Di bawah Akses, klik Sukses, Gagal, atau keduanya Sukses dan Gagal, tergantung pada jenis akses yang Anda inginkan untuk melakukan audit.
  6. Jika Anda ingin mencegah berkas dan subfolder di pohon dari mewarisi ini audit entri, klik untuk memilih Menerapkan entri ini audit kotak centang.

Audit untuk mendeteksi akses yang tidak sah

Anda dapat mendeteksi akses upaya dalam log Keamanan Windows, usaha-usaha ini dapat muncul sebagai peringatan atau entri log kesalahan. Anda juga dapat mengarsip log ini untuk digunakan nanti.

Mendeteksi masalah keamanan dengan meninjau log Keamanan Windows:
  1. Klik Mulai, arahkan ke Tataan, lalu klik Control Panel.
  2. Klik dua kali Alat administratif, kemudian klik dua kali Manajemen Komputer.
  3. Memperluas System Tools, dan kemudian memperluas Peraga Peristiwa.
  4. Klik Log keamanan.

    CATATAN: Jika Anda tidak dapat melihat log Keamanan, account pengguna yang Anda gunakan tidak memiliki hak untuk melakukannya. Masalah ini terjadi karena kebijakan keamanan tingkat domain menimpa kebijakan lokal komputer-tingkat keamanan, yang berarti bahwa Anda dapat logon sebagai administrator komputer lokal Anda, tapi tidak memiliki akses ke log keamanan komputer. Untuk mendapatkan izin tersebut, lihat administrator jaringan Anda. Untuk informasi lebih lanjut tentang kebijakan keamanan, lihat dokumentasi Windows.
  5. Periksa log untuk keamanan mencurigakan acara, termasuk peristiwa berikut:
    • Upaya logon tidak sah.
    • Gagal menggunakan hak-hak istimewa.
    • Gagal mencoba untuk mengakses dan memodifikasi file .bat atau .cmd.
    • Upaya untuk mengubah hak keamanan atau audit log.
    • Upaya untuk menutup server.

Bekerja dengan Windows log Keamanan

Cara mengarsip Log keamanan Windows

Untuk mengarsip log Keamanan Windows:
  1. Klik Mulai, arahkan ke Tataan, lalu klik Control Panel.
  2. Klik dua kali Alat administratif, kemudian klik dua kali Manajemen Komputer.
  3. Memperluas System Tools, dan kemudian memperluas Peraga Peristiwa.
  4. Klik Keamanan.
  5. Pada Tindakan menu, klik Menyimpan File Log sebagai.
  6. Dalam Simpan sebagai kotak dialog, klik direktori yang Anda ingin menyimpan file, dan kemudian ketik nama file.
CATATAN: Log Keamanan dapat disimpan sebagai berkas acara (.evt), file teks (.txt), atau berkas berpembatas koma (.csv).

Bagaimana membuka Log keamanan Windows Arsip

Untuk membuka log Keamanan Windows Arsip:
  1. Klik Mulai, arahkan ke Tataan, lalu klik Control Panel.
  2. Klik dua kali Alat administratif, kemudian klik dua kali Manajemen Komputer.
  3. Memperluas System Tools, dan kemudian memperluas Peraga Peristiwa.
  4. Pada Log menu, klik Keamanan.
  5. Pada Tindakan menu, titik Buka File Log.
  6. Dalam Terbuka kotak dialog, klik log yang sebelumnya telah disimpan atau mengubah ke lokasi di Lihat di Daftar dan browse ke file.
  7. Dalam Jenis log Daftar, klik Keamanan.
  8. Klik Oke untuk membuka berkas di penampil.

Pemecahan Masalah

Karena log Keamanan terbatas dalam ukuran, pilih berkas dan map yang ingin Anda menjadi diaudit dengan hati-hati. Juga mempertimbangkan jumlah ruang disk yang Anda bersedia untuk mengabdikan untuk log keamanan. Ukuran maksimum yang ditentukan di Peraga Peristiwa.

PENTING: Sebelum Windows 2000 dapat mengaudit akses ke file dan folder, Anda harus menggunakan snap-in kebijakan grup untuk mengaktifkan pengaturan Audit objek akses dalam kebijakan Audit. Jika Anda tidak, Anda menerima pesan galat ketika Anda mengatur audit untuk file dan folder, dan tidak ada file atau folder diaudit. Setelah Anda mengaktifkan audit di kebijakan grup, lihat log Keamanan di penampil aktivitas untuk meninjau sukses atau gagal upaya untuk mengakses diaudit file dan folder.




REFERENSI

Cara menginstal kelompok Snap-In kebijakan

Untuk menggunakan fitur audit dijelaskan artikel ini, Anda perlu menginstal snap-in kebijakan grup. Snap-in ini tidak termasuk dalam konsol manajemen komputer, dan Anda perlu membuat konsol baru untuk snap-in kebijakan grup. Untuk informasi lebih lanjut tentang menambahkan snap-in MMC, lihat dokumentasi Windows 2000.

Untuk membuat konsol MMC baru dan menambahkan snap-in kebijakan grup:
  1. Klik Mulai, lalu klik Menjalankan. Dalam Menjalankan kotak dialog, jenis MMC untuk mulai menjalankan konsol MMC baru.
  2. Dalam Konsol menu, klik Tambah/Hapus Snap-in.
  3. Dalam Tambah/Hapus Snap-in kotak dialog, klik Tambahkan.
  4. Dalam Tambahkan Standalone Snap-in kotak dialog, klik Kebijakan Grup dari daftar tersedia klik snap-ins. Tambahkan.
  5. Dalam Objek kebijakan grup pilih kotak dialog, klik Menyelesaikan untuk mengaudit komputer lokal, atau People untuk menemukan komputer yang Anda inginkan untuk melakukan audit.
  6. Jika Anda mengklik People, lanjutkan ke langkah 7. Jika Anda mengklik Menyelesaikan, pergi ke langkah 9.
  7. Dalam People untuk objek kebijakan grup kotak dialog, klik Komputer tab, klik Komputer lain, browse ke komputer yang Anda inginkan untuk mengaudit, dan kemudian klik Oke.
  8. Dalam Objek kebijakan grup pilih kotak dialog, klik Menyelesaikan.
  9. Dekat Tambahkan Standalone Snap-in kotak dialog.
  10. Klik Oke.
  11. Dalam Konsol menu, pilih Simpan untuk menyimpan konsol baru ke hard disk. Ini adalah konsol yang akan Anda gunakan untuk mengkonfigurasi fitur audit.

Cara mengaktifkan Account lain untuk mengkonfigurasi audit

Secara default, hanya anggota dari grup Administrator memiliki hak untuk mengkonfigurasi audit. Anda dapat mendelegasikan tugas konfigurasi audit peristiwa server untuk account pengguna lainnya oleh pemberian hak mengelola audit dan Log keamanan di kebijakan grup.

Untuk mengaktifkan account untuk mengkonfigurasi audit:
  1. Di konsol kebijakan grup yang Anda buat, memperluas menu berikut dalam urutan berikut:
    1. Konfigurasi komputer
    2. Pengaturan Windows
    3. Pengaturan keamanan
    4. Lokal Kepolisian
    5. Penetapan hak pengguna
  2. Klik Mengelola log audit dan keamanan, klik Tindakan, lalu klik Keamanan.
  3. Dalam Mengelola log audit dan keamanan kotak dialog, klik Tambahkan.

    CATATAN: Jika Tambahkan tombol ini tidak tersedia (muncul redup), klik untuk menghapus Mengecualikan dari kebijakan lokal kotak centang untuk mengaktifkan Tambahkan tombol.
  4. Klik sesuai pengguna atau grup pengguna dari daftar, dan kemudian klik Tambahkan. Klik Oke.

Rekomendasi untuk audit pada Windows 2000 IIS 5.0 Web server

Untuk komputer berbasis Windows 2000 Server yang menjalankan IIS 5.0, Anda harus melakukan audit dengan menggunakan peristiwa-peristiwa Windows. "Audit keberhasilan upaya" menunjukkan bahwa Anda tertarik untuk acara sukses, dan "Audit gagal usaha" menunjukkan bahwa Anda tertarik pada kegagalan ketika peristiwa itu dilakukan. "On" berarti bahwa acara ini sedang diaudit, sementara "off" berarti acara tersebut tidak sedang diaudit.

Daftar berikut memberikan saran audit untuk berbagai peristiwa pada komputer berbasis Windows 2000 yang adalah IIS Web server:
  • Account Logon
    Audit keberhasilan upaya: ON

    Audit gagal usaha: ON
  • Manajemen account
    Audit keberhasilan upaya: dari

    Audit gagal usaha: ON
  • Direktori layanan akses
    Audit keberhasilan upaya: dari

    Audit gagal usaha: ON
  • Logon
    Audit keberhasilan upaya: ON

    Audit gagal usaha: ON
  • Objek akses
    Audit keberhasilan upaya: dari

    Audit gagal usaha: dari
  • Perubahan kebijakan
    Audit keberhasilan upaya: ON

    Audit gagal usaha: ON
  • Hak penggunaan
    Audit keberhasilan upaya: dari

    Audit gagal usaha: ON
  • Proses pelacakan
    Audit keberhasilan upaya: dari

    Audit gagal usaha: dari
  • Sistem
    Audit keberhasilan upaya: dari

    Audit gagal usaha: dari

Properti

ID Artikel: 300549 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Kata kunci: 
kbhowto kbhowtomaster kbperformance w2000perf kbmt KB300549 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:300549

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com