您可以使用此頁面來建立組織中伺服器的稽核原則。稽核是一種處理程序,可以用來追蹤使用者活動,以及在安全性記錄檔中記錄所選取類型的事件。稽核原則定義您要收集之事件的類型。

收集和監視稽核事件,會消耗磁碟空間及其他資源。選取稽核原則之前,請檢閱「稽核安全性事件最佳作法」(https://go.microsoft.com/fwlink/?LinkId=92229 (可能為英文網頁))。

您可以使用 Microsoft Operations Manager (MOM) 將多個伺服器的稽核事件收集到單一存放庫。

下表一一說明可在安全性設定精靈 (SCW) 中選取的三個稽核原則目標。

稽核原則目標 描述 稽核事件類型和原則設定

不稽核

不執行稽核。可以節省運算速度和磁碟空間,讓其他處理程序可以有更好的效能。

注意

不會有關於偵測入侵者、尋找未授權的存取嘗試,或用於其他目的之稽核資訊。

稽核成功的活動

稽核成功的活動比起同時稽核成功和不成功的活動,產生的事件記錄檔項目較少。使用此選項只會記錄使用者實際存取的事件,而非嘗試存取的事件。

附註

如果您只稽核成功的活動,那麼未授權的入侵嘗試就不會顯示在記錄檔中。未授權入侵嘗試的特色就是大量的不成功活動。

稽核帳戶登入事件:成功,失敗

稽核帳戶管理:成功

稽核目錄服務存取:成功

稽核登入事件:成功,失敗

稽核物件存取:成功

稽核原則變更:成功

稽核特殊權限使用:尚未稽核

稽核程序追蹤:成功

稽核系統事件:成功,失敗

稽核成功的和不成功的活動

這表示除了使用稽核事件來追蹤成功完成的工作之外,您還要追蹤使用者對其未授權區域嘗試取得存取權的動作。

附註

請勿選取 [稽核成功的和不成功的活動],除非您會定期檢視安全性記錄檔。如果使用者嘗試存取他們未獲授權的資源,他們可能會建立許多失敗稽核,讓安全性記錄檔空間爆滿。安全性記錄檔空間爆滿時,最舊的稽核項目會遭到覆寫。

稽核帳戶登入事件:成功,失敗

稽核帳戶管理:成功,失敗

稽核目錄服務存取:成功,失敗

稽核登入事件:成功,失敗

稽核物件存取:成功,失敗

稽核原則變更:成功,失敗

稽核特殊權限使用:尚未稽核

稽核程序追蹤:成功,失敗

稽核系統事件:成功,失敗

其他參考資料