“審核”功能就像Windows的晴雨表，據(jù)此我們可以了解計算機的一舉一動，并且可以根據(jù)這些信息來維護計算機系統(tǒng)的安全以及進行故障點排除。在Vista中，“審核”功能比以往更加強大，本文將和大家一起探討其在Vista下的應用。

　　1、啟用審核的策略

　　所謂的審核就是跟蹤，啟用相應的審核功能后系統(tǒng)就會跟蹤并記錄事件的過程，方便管理員查看。利用審核功能，我們不僅可以監(jiān)視用戶在計算機上進行的操作，還可以根據(jù)系統(tǒng)運行狀態(tài)對故障進行排除。但是，開啟了審核就會降低系統(tǒng)的性能，因為系統(tǒng)為此需要耗費一部分資源用于記錄和存儲事件。因此，我們在啟用審核時要根據(jù)需要制訂審核策略。

　　作為管理員需要明確以下幾個方面：需要對哪些內(nèi)容進行審核;是否合理設置了審核策略;哪些用戶有權訪問日志;由誰了負責收集和歸檔日志;日志備份的相關工作如何進行;日志丟失后如何處理;日志保存和審查的周期;審查日志需要用到的工具和措施;在日志中發(fā)現(xiàn)安全問題后如何處理等。只有這樣才能在審核好系統(tǒng)性能之間取得一個平衡。

　　2、配置審核策略

　　審核是對具體事件的過程進行監(jiān)視和記錄，因此會將結果保存到系統(tǒng)的事件日志中。當然，除非開啟了相應的審核功能，否則Windows Vista不會記錄安全日志。開啟審核功能的方法是：依次單擊“開始”→“控制面板”→“系統(tǒng)和維護”→“管理工具”，打開“本地安全策略”控制臺。然后在“本地策略”→“審核策略”中找到相應的審核策略。

　　在Vista中可啟用的審核策略有9項之多，比如“審核特權使用”，用來記錄用戶在系統(tǒng)操作過程中行使除登錄、注銷和網(wǎng)絡之外的權限。“審核帳戶管理”，記錄用戶帳戶的創(chuàng)建、刪除、更改等事件。“審核進程跟蹤”，跟蹤并記錄進程的后臺運行，例如程序的激活，handle句柄的復制和對文件管理資源的訪問等。啟用各種審核策略的方法類似，至于啟用什么樣的審核策略，要根據(jù)自己安全需要進行選擇。(圖1)

　　例如要審核登錄事件，只需雙擊打開該策略，然后勾選審核包括事件的成功和失敗，最后單擊“定”即可。這樣Windows Vista就可以開始審核本地所有用戶帳戶的登錄事件，包括用戶成功登錄和登錄失敗，這樣有利用發(fā)現(xiàn)系統(tǒng)是否被非法登錄并被入侵。(圖2)