菜鸟的入门知识　　

　　1.审核策略是什么

　　审核策略是Windows 2000及以后版本组策略中引入的一个安全机制。它可以用日志形式记录系统中已经被审核的事件，而系统管理员通过生成的日志文件，能轻易发现和跟踪发生在所管理区域内的可疑事件。比如:谁曾经访问过哪个文件、哪些非法程序入侵了你的电脑等。　　

　　2.如何开启“审核对象访问”策略

　　所有“审核策略”默认是没有打开的，需要手动开启。依次打开“控制面板→管理工具→本地安全策略”或在“开始→运行”中输入“secpol.msc”，打开组策略中的“本地安全设置”编辑器，依次定位到“本地策略→审核策略”，双击右侧窗格中的“审核对象访问”，勾选“成功”或“失败”即可(见图1)。

　　　

　　3.查看事件日志

　　设置了一则审核策略，还得通过事件查看器来获取信息。在“开始→运行”中输入“Eventvwr.msc”，接着定位到“事件查看器→安全性”，在右侧窗格中记录了许多“成功审核”、“失败审核”的安全性事件。通常情况记录的事件很多，可以对其进行筛选，依次选择“查看→筛选”，在“筛选器”选项卡下面的时间类型中只勾选“成功审核”和“失败审核”;而“事件来源”和“类别”可根据不同的审查对象和审查内容进行筛选，一般情况只需要查看560事件即可(见图2)。

　　4.使用审核策略的前提

　　实行审核策略的前提，首先是安装了Windows XP专业版(或Windows 2003)，要求审核的文件、文件夹和注册表项等必须位于NTFS文件系统分区，其次必须如上所述打开对象访问事件审核策略。符合以上条件，就可以对特定文件或文件夹进行审核，并且对哪些用户或组指定哪些类型的访问进行审核。