巧妙借助Win2008审核功能,让系统更安全(2)

　　实战应用审核功能

　　审核功能在现实环境中对Windows Server 2008系统尤为重要，因为服务器系统在局域网环境中很容易受到攻击，网络管理员可以利用审核功能来对各种攻击行为进行跟踪监控，遇到有潜在安全威胁的事件发生时，我们可以想方设法地将审核功能监控到的事件内容通知给网络管理员，网络管理员就能立即查明事件原因，并对症下药地解决问题，从而保障服务器系统不受非法攻击了。

　　例如，一些木马程序常常会在服务器系统中偷偷创建用户账号，以便窃取服务器系统的超级管理员权限，此时我们可以通过用户账号监控来确定服务器系统中究竟是否存在非法用户账号，然后进一步确定究竟是哪一个用户账号是非法账号。需要说明的是，要想让Windows Server 2008系统自动将非法账号创建的事件通知给网络管理员时，必须确保对应系统的Task Scheduler服务处于正常的运行状态。

　　首先依次单击Windows Server 2008系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，执行字符串命令“secpol.msc”，打开服务器系统的本地安全策略控制台窗口;

　　其次在该控制台窗口的左侧显示区域，依次展开“安全设置”、“本地策略”、“审核策略”分支选项，在对应“审核策略”分支选项的右侧显示区域中，双击“审核账户管理”策略选项，打开如图4所示的策略选项设置对话框，选中“成功”和“失败”选项，再单击“确定”按钮关闭策略选项设置对话框，这样一来无论用户账户创建成功还是创建失败，Windows Server 2008系统都会自动记录下用户账号创建事件;

　　为了把用户账号创建事件内容自动通知给网络管理员，我们还需要针对该事件附加执行自动报警的任务计划。在附加自动报警任务时，我们先依次单击 Windows Server 2008系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”命令，打开对应系统的服务器管理器控制台窗口;在该控制台窗口的左侧区域依次点选“诊断”/“事件查看器”/“Windows日志”/“系统”子项，再从“系统”子项下面找到创建用户账号事件，如果找不到该事件内容时，我们还需要采用手工方法随意在服务器系统中创建一个用户账号，这样一来用户账号创建事件就会出现在事件查看器中了。

　　用鼠标右键单击用户账号创建事件，从弹出的快捷菜单中执行“将任务附加到此事件”意创建一个用户账号时，Windows Server 2008系统屏幕上立即出现了一个自动报警提示窗口，告诉网络管理员说“服务器系统中可能有非法账号被创建，请网络管理员立即处理相关事件!”，这就意味着此时有人在服务器系统中偷偷命令，打开任务计划添加向导对话框，之后设置好新任务的名称，例如这里我们将新任务取名为“自动报警用户账号创建情况”，当屏幕上出现如图5所示的设置对话框时，选中“显示消息”选项，再设置好需要报警的标题与内容，在这里我们将标题设置为“自动报警用户账号创建情况”，将报警内容设置为“服务器系统中可能有非法账号被创建，请网络管理员立即处理相关事件!”最后单击“完成”按钮，这样一来Windows Server 2008系统日后就能把审核功能记录下来的用户账号创建情况自动报告给网络管理员了。

　　当我们尝试通过远程桌面方式在服务器系统中随创建用户账号了，网络管理员根据这个自动报警提示信息，就能在第一时间采取措施来解决相关问题，从而保障Windows Server 2008服务器系统不受非法攻击了。

　　伴随着Internet网络中的病毒、黑客、木马不断泛滥，以及Windows系统漏洞的不断增多，无论是普通电脑还是服务器所受到的安全威胁也是越来越多。我们可以依靠Windows Server 2008系统自身的力量，来将该系统各方面的安全防范性能全部发挥起来，最后发现平时不怎么起眼的“审核”功能变得更加强大了，巧妙借助该功能,以方便各位朋友利用该功能更好地服务自己。