如何在 Windows 2000 中啟用與套用安全性稽核

文章翻譯 文章翻譯
文章編號: 300549 - 檢視此文章適用的產品。
本文曾發行於 CHT300549
全部展開 | 全部摺疊

在此頁中

結論

本文將逐步告訴您,如何啟用與套用 Windows 安全性稽核。

啟用 Windows 安全性稽核

在將資訊和服務資源提供給授權使用者使用的同時,您必須保護這些資源不被沒有存取權的人擅用。本文將告訴您,如何使用 Windows 2000 安全性功能來稽核資源的存取。

您可以設定安全性記錄檔來記錄有關目錄和檔案存取或伺服器事件的資訊。您可以使用 Microsoft Management Console (MMC) 中的「稽核原則」,來設定這個稽核層級。這些事件會被記錄在 Windows 安全性記錄檔內。安全性記錄檔可以記錄安全性事件,例如有效及無效的登入嘗試,以及與資源使用有關的事件,例如建立、開啟或刪除檔案。您必須以系統管理員身分登入,才能控制要在安全性記錄檔內稽核與顯示的事件。

重要:您必須使用「群組原則」嵌入式管理單元來啟用「稽核原則」中的「稽核物件存取」設定,然後 Windows 2000 才能稽核檔案及資料夾的存取。如果不這樣做,您就會在設定檔案及資料夾的稽核時收到錯誤訊息,而無法對任何檔案或資料夾進行稽核。啟用「群組原則」中的稽核之後,請檢視「事件檢視器」中的安全性記錄檔,以查看對受到稽核的檔案和資料夾有何成功或失敗的存取嘗試。

啟用本機 Windows 安全性稽核:
  1. 使用具有「系統管理員」權限的帳戶登入 Windows 2000。如果您想要將設定稽核的權限授與其他的使用者,請參閱本文<參考>一節中的<如何啟用其他帳戶來設定稽核>小節。
  2. 請確定您已安裝「群組原則」嵌入式管理單元;如果尚未安裝,請依照本文<參考>一節<如何安裝群組原則嵌入式管理單元>小節的指示來進行安裝。
  3. 按一下 [開始],指向 [設定],然後按一下 [控制台]
  4. 按兩下 [系統管理工具]
  5. 按兩下 [本機安全性原則] 以啟動「本機安全性設定值」MMC 嵌入式管理單元。
  6. 按兩下以展開 [本機原則],然後再按兩下 [稽核原則]
  7. 在右邊窗格中,按兩下您想要啟用或停用的原則。
  8. 按一下登入和登出的 [成功 (成功的稽核安全性存取嘗試)][失敗 (失敗的稽核安全性存取嘗試)] 核取方塊。例如,在此設定下,使用者成功登入系統的嘗試將會被記錄為「稽核成功」事件。如果使用者試圖存取網路磁碟機,但失敗了,那麼這項嘗試會被記錄為「稽核失敗」事件。
  9. 如果您要為正在執行 Microsoft Internet Information Services (IIS) 5.0 版的網頁伺服器設定稽核,請參閱本文<參考>一節中的<在 Windows 2000 IIS 5.0 網頁伺服器上進行稽核的建議>小節,以取得建議稽核的清單。
注意:如果您是網域的成員,而且網域層級原則已定義,那麼網域層級設定會覆寫本機原則設定。

如果啟用了 Active Directory,系統管理員就可以監視對 Active Directory 進行的存取,這樣一來就會將成功和失敗的稽核嘗試記錄到「目錄服務」事件記錄檔中。這個事件記錄檔只存在於 Windows 2000 網域控制站。

啟用 Active Directory 的稽核功能:
  1. 請使用具有「系統管理員」權限的帳戶登入 Windows 2000;如果您希望將設定稽核的權限提供給其他人,請參閱以下章節。
  2. 請確定已安裝「群組原則」嵌入式管理單元;如果尚未安裝,請依照下面章節列出的指示來進行安裝。
  3. 按一下 [開始],指向 [程式集],再指向 [系統管理工具],以啟動「Active Directory 使用者和電腦」嵌入式管理單元。
  4. [檢視] 功能表上,按一下 [進階功能]
  5. 用滑鼠右鍵按一下 [網域控制站] 容器,再按一下 [內容]
  6. 按一下 [群組原則] 索引標籤。
  7. 按一下 [預設的網域控制站原則],然後按一下 [編輯]
  8. 按兩下以開啟下列項目:[電腦設定][Windows 設定][安全性設定][本機原則][稽核原則]
  9. 開啟右邊窗格中的 [稽核目錄服務存取]
  10. 按一下適當的選項:[稽核成功的嘗試][稽核失敗的嘗試],或是兩者都選。
  11. 如果您要為 IIS 5.0 網頁伺服器設定稽核,請參閱本文<參考>一節的<在 Windows 2000 IIS 5.0 網頁伺服器上進行稽核的建議>小節,以取得建議稽核的清單。
注意:在 Windows 2000 中,網域控制站會每隔五分鐘輪詢一次原則變更。企業中的其他網域控制站會以上述間隔時間加上複寫時間收到變更。

注意:如果 [稽核項目] 對話方塊中,位於 [存取] 下方的核取方塊變成灰色,或無法使用 [存取控制設定值] 對話方塊中的 [移除] 按鈕,那就表示已經從父資料夾繼承稽核了。因為安全性記錄檔的大小有限,請小心選取您要稽核的檔案和資料夾。同時請考慮您願意提供多少磁碟空間給安全性記錄檔使用。可以在「事件檢視器」中定義大小上限。

在 Windows 2000 Server 中稽核事件

設定、檢視、變更或移除 Windows 的檔案或資料夾稽核

您設定稽核來偵測並記錄安全性相關事件,例如使用者嘗試存取機密檔案或資料夾事件。當您稽核物件時,只要這個物件是以特定方式存取,就會有項目寫入 Windows 2000 安全性記錄檔。您可以決定要稽核的是哪些物件、誰的動作以及這些動作的確實類型。設定稽核之後,您可以持續追蹤存取特定物件的使用者,並分析安全性破壞動作。稽核追蹤可以顯示誰執行了這些動作以及誰試圖執行不被允許的動作。

設定稽核:
  1. 啟動 Windows 檔案總管 (按一下 [開始],指向 [程式集],再指向 [附屬應用程式],然後按一下 [Windows 檔案總管]),然後找出您要稽核的檔案或資料夾。
  2. 用滑鼠右鍵按一下檔案或資料夾,按一下 [內容],然後按一下 [安全性] 索引標籤。
  3. 按一下 [進階],再按一下 [稽核] 索引標籤。
  4. 請執行下列其中一項適用的操作:
    1. 如果要設定新群組或使用者的稽核:
      1. 按一下 [新增]。在 [名稱] 方塊中,輸入您要稽核的使用者名稱。
      2. 按一下 [確定] 來自動開啟 [稽核項目] 對話方塊。
    2. 如果要檢視或變更現有群組或使用者的稽核,請按一下名稱,然後按一下 [檢視/編輯]
    3. 如果要 移除現有群組或使用者的稽核,請按一下名稱,然後按一下 [移除]
  5. 按一下 [存取] 下方的 [成功][失敗],或是[成功][失敗],依您要稽核的存取類型而定。
  6. 如果您要避免樹狀目錄中的檔案和子資料夾繼承這些稽核項目,請按一下以選取 [套用這些稽核項目] 核取方塊。

稽核以偵測未經授權的存取

您可以在 Windows 安全性記錄檔中偵測出未經授權的存取嘗試,這些嘗試可能顯示為警告或錯誤記錄項目。您也可以封存這些記錄,以供日後使用

如果要檢視 Windows 安全性記錄檔以偵測可能的安全性問題:
  1. 按一下 [開始],指向 [設定],然後按一下 [控制台]
  2. 按兩下 [系統管理工具],然後按兩下 [電腦管理]
  3. 展開 [系統工具],然後展開 [事件檢視器]
  4. 按一下 [安全性記錄檔]

    注意:如果您無法檢視安全性記錄檔,就表示您使用的使用者帳戶沒有執行這項操作的權限。這個問題肇因於網域層級安全性原則會覆寫本機電腦層級安全性原則,也就是說您可以以本機電腦系統管理員的身分登入,但是仍然無法存取電腦的安全性記錄檔。如果要取得這些權限,請連絡您的網路管理員。如需有關安全性原則的詳細資訊,請參閱 Windows 文件。
  5. 檢查可疑安全性事件的記錄,其中包括下列事件:
    • 無效的登入嘗試。
    • 使用特殊權限失敗。
    • 存取及修改 .bat 或 .cmd 檔案的嘗試失敗。
    • 嘗試變更安全性權限或稽核記錄檔。
    • 嘗試關閉伺服器。

使用 Windows 安全性記錄檔

如何封存 Windows 安全性記錄檔

如果要封存 Windows 安全性記錄檔:
  1. 按一下 [開始],指向 [設定],然後按一下 [控制台]
  2. 按兩下 [系統管理工具],然後按兩下 [電腦管理]
  3. 展開 [系統工具],然後展開 [事件檢視器]
  4. 按一下 [安全性]
  5. [動作] 功能表上,按一下 [另存記錄檔]
  6. [另存新檔] 對話方塊中,按一下要儲存檔案的目錄,然後輸入檔案的名稱。
注意:安全性記錄檔可以儲存為事件 (.evt) 檔案、文字 (.txt) 檔案或逗號分隔的 (.csv) 檔案。

如何開啟封存的 Windows 安全性記錄檔

如果要開啟封存的 Windows 安全性記錄檔:
  1. 按一下 [開始],指向 [設定],然後按一下 [控制台]
  2. 按兩下 [系統管理工具],然後按兩下 [電腦管理]
  3. 展開 [系統工具],然後展開 [事件檢視器]
  4. [記錄] 功能表上,按一下 [安全性]
  5. [動作] 功能表上,指向 [開啟記錄檔]
  6. [開啟] 對話方塊中,按一下之前儲存的記錄檔,或在 [查詢] 清單中變更至該位置並瀏覽該檔案。
  7. [記錄檔類型] 清單中,按一下 [安全性]
  8. 按一下 [確定],在檢視器中開啟檔案。

疑難排解

因為安全性記錄檔的大小有限,請小心選取您要稽核的檔案和資料夾。同時請考慮您願意提供多少磁碟空間給安全性記錄檔使用。可以在「事件檢視器」中定義大小上限。

重要:您必須使用「群組原則」嵌入式管理單元來啟用「稽核原則」中的「稽核物件存取」設定,然後 Windows 2000 才能稽核檔案及資料夾的存取。如果不這樣做,您就會在設定檔案及資料夾的稽核時收到錯誤訊息,而無法對任何檔案或資料夾進行稽核。啟用「群組原則」中的稽核之後,請檢視「事件檢視器」中的安全性記錄檔,以查看對受到稽核的檔案和資料夾有何成功或失敗的存取嘗試。




?考

如何安裝群組原則嵌入式管理單元

如果要使用本文所述的稽核功能,您必須安裝「群組原則」嵌入式管理單元。這個嵌入式管理單元並未附在「電腦管理」主控台中,因此您必須為其建立新的主控台。如需有關新增 MMC 嵌入式管理單元的詳細資訊,請參閱 Windows 2000 文件。

如果要建立新的 MMC 主控台並新增「群組原則」嵌入式管理單元:
  1. 按一下 [開始],再按一下 [執行]。在 [執行] 對話方塊中,輸入 mmc 以啟動新的 MMC 主控台。
  2. [主控台] 功能表中,按一下 [新增/移除嵌入式管理單元]
  3. [新增/移除嵌入式管理單元] 對話方塊中,按一下 [新增]
  4. [新增獨立嵌入式管理單元] 對話方塊中,從可用的嵌入式管理單元清單中,按一下 [群組原則]。按一下 [新增]
  5. [選取群組原則物件] 對話方塊中,按一下 [完成] 以稽核本機電腦,或是按一下 [瀏覽] 以找出您想要稽核的電腦。
  6. 如果您按 [瀏覽],請繼續執行步驟 7。如果您按 [完成],請前往步驟 9。
  7. [瀏覽群組原則物件] 對話方塊中,按一下 [電腦] 索引標籤,再按一下 [另一台電腦],瀏覽至您想要稽核的電腦,然後按一下 [確定]
  8. [選取群組原則物件] 對話方塊中,按一下 [完成]
  9. 關閉 [新增獨立嵌入式管理單元] 對話方塊。
  10. 按一下 [確定]
  11. [主控台] 功能表中選取 [儲存],將新的主控台儲存到硬碟。這是您將用來設定稽核功能的主控台。

如何啟用其他帳戶來設定稽核

根據預設,只有「系統管理員」群組的成員才具有設定稽核的權限。您可以在「群組原則」中授與「管理稽核及安全性記錄檔」權限,將設定伺服器事件稽核的工作委派給其他使用者帳戶。

如果要啟用帳戶以設定稽核:
  1. 在您建立的「群組原則」主控台中,依下列順序展開下列功能表:
    1. 電腦設定
    2. Windows 設定
    3. 安全性設定
    4. 本機原則
    5. 使用者權限指派
  2. 按一下 [管理稽核和安全性記錄檔],再按一下 [動作],然後按一下 [安全性]
  3. [管理稽核和安全性記錄檔] 對話方塊中,按一下 [新增]

    注意:如果 [新增] 按鈕無法使用 (呈灰色),請按一下以清除 [從本機原則排除] 核取方塊,就可以啟用 [新增] 按鈕。
  4. 按一下清單中的適當使用者或使用者群組,然後按一下 [新增]。按一下 [確定]

在 Windows 2000 IIS 5.0 網頁伺服器上進行稽核的建議

對於執行 IIS 5.0 的 Windows 2000 Server 電腦,您應該使用下列 Windows 事件來進行稽核。事件發生時,「稽核成功的嘗試」代表您對成功的事件感興趣,而「稽核失敗的嘗試」則表示您對失敗的事件感興趣。「開啟」代表正在稽核中的事件,而「關閉」則代表不在稽核中的事件。

下列清單針對身為 IIS 網頁伺服器的 Windows 2000 電腦提供各種事件的稽核建議:
  • 帳戶登入
    稽核成功的嘗試:開啟

    稽核失敗的嘗試:開啟
  • 帳戶管理
    稽核成功的嘗試:關閉

    稽核失敗的嘗試:開啟
  • 目錄服務存取
    稽核成功的嘗試:關閉

    稽核失敗的嘗試:開啟
  • 登入
    稽核成功的嘗試:開啟

    稽核失敗的嘗試:開啟
  • 物件存取
    稽核成功的嘗試:關閉

    稽核失敗的嘗試:關閉
  • 原則變更
    稽核成功的嘗試:開啟

    稽核失敗的嘗試:開啟
  • 特殊權限使用
    稽核成功的嘗試:關閉

    稽核失敗的嘗試:開啟
  • 處理程序追蹤
    稽核成功的嘗試:關閉

    稽核失敗的嘗試:關閉
  • 系統
    稽核成功的嘗試:關閉

    稽核失敗的嘗試:關閉

屬性

文章編號: 300549 - 上次校閱: 2006年1月20日 - 版次: 4.0
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbhowto kbhowtomaster kbperformance KB300549
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com