第二章节操作系统安全机制课件(595KB).pptVIP

5.管理和维护NT审计 通常情况下，Windows NT 不是将所有的事件都记录日志，而需要手动启动审计的功能。这是首先需要从开始菜单中选择程序，然后再选择管理工具。从管理工具子菜单选择用户管理器，显示出用户管理起窗口。然后从用户管理器的菜单中单击policies(策略)，再单击audit(审计)，审计策略窗口就出现了。接着选择单选框”audit thest events”(审计这些事件)。最后选择需要启动事件的按OK，然后关闭用户管理器。值得注意的是在启动Windows NT的审计功能时，需要仔细选择审计的内容。 审计日志将产生大量的数据，因此较为合理的方法是首先设置进行简单审计，然后在监视系统的情况下逐步增加复杂的审计要求。当需要审查审计日志以跟踪网络或机器上的异常事件时，采用一些第三方提供的工具是一个叫有效率的选择。 最后介绍一下Windows NT的三个日志文件的物理位置。 系统日志：%systemroot%\system32\config\sysevent.evt 安全日志：%systemroot%\system32\config\secevent.evt 应用程序日志： %systemroot%\system32\config\appevent.evt 5.管理和维护NT审计 2.6 存储保护、运行保护和I/O保