可以使用此页为组织中的服务器创建审核策略。审核是跟踪用户活动并在安全日志中记录所选类型的事件的过程。审核策略定义要收集的事件类型。

收集和监视审核事件会占用磁盘空间和其他资源。在选择审核策略之前,请查看“Auditing Security Events Best Practices”(https://go.microsoft.com/fwlink/?LinkId=92229)(可能为英文网页)。

可以使用 Microsoft Operations Manager (MOM) 在一个储存库中收集来自多台服务器的审核事件。

下表分别介绍了可以使用安全配置向导 (SCW) 选择的三个审核策略目标。

审核策略目标 描述 审核事件类型和策略设置

不审核

不执行任何审核。CPU 周期和磁盘空间空闲下来,以便可以提高其他进程的性能。

小心

没有任何审核信息可用于检测入侵者,发现未经授权的访问尝试,或用于任何其他用途。

审核成功的操作

与审核成功和不成功的操作相比,审核成功的操作可以减少事件日志的项数。使用此选项将只记录用户实际访问的内容,而不记录用户尝试访问的内容。

注意

如果只审核成功的操作,日志中将不会出现未经授权的入侵尝试。未经授权的入侵尝试的特征体现在大量不成功的操作。

审核帐户登录事件:成功、失败

审核帐户管理:成功

审核目录服务访问:成功

审核登录事件:成功、失败

审核对象访问:成功

审核策略更改:成功

审核特权使用:未审核

审核过程跟踪:成功

审核系统事件:成功、失败

审核成功和不成功的操作

这意味着您除了要使用审核事件来跟踪成功完成的任务之外,还要跟踪用户访问无权访问的区域的尝试。

注意

除非您定期查看安全日志,否则,不要选择“审核成功和不成功的操作”。如果用户尝试访问无权访问的资源,可能会产生许多失败审核,从而填满安全日志。安全日志已满后,将覆盖最早的审核项。

审核帐户登录事件:成功、失败

审核帐户管理:成功、失败

审核目录服务访问:成功、失败

审核登录事件:成功、失败

审核对象访问:成功、失败

审核策略更改:成功、失败

审核特权使用:未审核

审核过程跟踪:成功、失败

审核系统事件:成功、失败

其他参考