合理设置Windows服务器审核策略，记录服务器运行状况，实时掌握是否有人恶意尝试登录破解密码、是否有人成功登录过服务器、修改过服务器有关设置、访问过什么文件和文件夹、策略是否被修改过、系统有无意外重启或关机等。

一、Windows审核策略设置

1、打开设置窗口

Windows Server 2008 R2：开始 → 管理工具 → 本地安全策略 → 本地策略 → 审核策略，如图所示；

Windows Server 2003：开始 → 运行 → 输入 gpedit.msc 回车 → 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略。

2、双击要设置的项（如，审核帐户登录事件），打开窗口如图所示

勾选要审核的操作（成功、失败），单击“应用”或“确定”即可，按此步骤重复设置其它项。

二、Windows审核策略相关说明

帐户管理：审核创建、更改、删除用户帐户或组，修改密码，禁用、启用、重命名用户帐户等；

登录事件：审核每个用户帐户登录或注销成功还是失败；

系统事件：审核对系统安全有影响的事件、重启或关闭计算机事件等；

特权使用：审核用户实施其权利的每一个实例；

目录服务访问：审核用户访问那些指定自己的系统访问控制列表（SACL）的 Active Directory（活动目录）对象的事件；

对象访问：审核用户访问文件、文件夹、注册表、打印机等对象，这些对象都有特定的系统访问控制列表（SACL）；

策略更改：审核用户权限分配策略、审核策略、信任策略更改的每一个事件；

帐户登录事件：审核在这台计算机用于验证帐户时，用户登录到其它计算机或从其它计算机注销的每个实例；

过程跟踪：审核“程序激活、进程退出、句柄复制、间接对象访问”等事件的详细跟踪信息。

备注：刷新组策略gpupdate /force (客户端需要注销或重启)，域控制器会记录事件在安全日志中。