由于我們單位的計(jì)算機(jī)不多���,多人共用四臺(tái)�,以前使用Windows 98,簡(jiǎn)直讓我傷透了腦筋�,老是有人向我抱怨別人偷看了或是刪改了他的文件(被重新編輯了或是刪除)。而作為管理員的我���,頭痛的是根本就沒有辦法來監(jiān)督每個(gè)人的操作?�,F(xiàn)在幾臺(tái)機(jī)器全部裝上了Windows 2000�����,我可以對(duì)不同的用戶賦予不同的權(quán)限�,關(guān)鍵是可以限制登錄用戶去偷看或是刪改其他用戶的文件��,而且我對(duì)所有用戶的私人文件夾都設(shè)置了權(quán)限,并且使用了審核功能���,只許本人使用�����。夠嚴(yán)密了吧�����?可還是不可避免有個(gè)別用戶想方設(shè)法要偷看其他用戶的私人文件夾�����,怎么辦呢���?還好有了事件日志,通過它����,我可以追蹤這些讓我不得安寧的壞人了,當(dāng)然它也讓我在維護(hù)計(jì)算機(jī)時(shí)輕松了不少�。
什么是事件日志呢?事件日志是專門記錄計(jì)算機(jī)硬件�����、軟件和系統(tǒng)整體方面的錯(cuò)誤信息,也記錄一些安全方面的問題���。Windows 2000有三種類型的事件日志:
1���、系統(tǒng)日志
這種日志跟蹤各種各樣的系統(tǒng)事件,包括Windows系統(tǒng)組件出現(xiàn)的問題�����,比如跟蹤系統(tǒng)啟動(dòng)過程中的事件�����、硬件和控制器的故障�、啟動(dòng)時(shí)某個(gè)驅(qū)動(dòng)程序加載失敗等�。
2、應(yīng)用程序日志
這種日志跟蹤應(yīng)用程序關(guān)聯(lián)的事件���,比如應(yīng)用程序產(chǎn)生的像裝載DLL(動(dòng)態(tài)鏈接庫(kù))失敗的信息將出現(xiàn)在日志中����。
3、安全日志
這種日志跟蹤事件如登錄上網(wǎng)����、下網(wǎng)、改變?cè)L問權(quán)限以及系統(tǒng)啟動(dòng)和關(guān)閉�。只是安全日志的默認(rèn)狀態(tài)是關(guān)閉的,這是我在設(shè)置本地安全策略后才產(chǎn)生的�����。
在事件日志中���,以下面幾種情況來表示整個(gè)系統(tǒng)運(yùn)行過程中出現(xiàn)的事件:
?��。?)“錯(cuò)誤”是指比較嚴(yán)重的問題,通常是出現(xiàn)了數(shù)據(jù)丟失或功能丟失�。
(2)“警告”則表明情況暫時(shí)不嚴(yán)重�����,但可能會(huì)在將來引起錯(cuò)誤�����,比如磁盤空間太少等。
?����。?)“信息”則是記錄運(yùn)行成功的事件����。
另外,安全日志則直接以成功審核和失敗審核來標(biāo)識(shí)事件的成功與否���。
由此可見���,在這些事件日志里,存放著一些非常重要的信息���,因?yàn)樗涗浿杏脩舻牟僮鳎ū粚徲?jì)了的操作��,但是在默認(rèn)的情況下���,Guest和匿名用戶是可以查看事件日志的��,個(gè)別別有用心的人做了壞事之后��,總是想要查看事件日志上是否記錄他的行為并且伺機(jī)抹掉他的活動(dòng)痕跡��,如刪除日志文件��,讓我這個(gè)管理員事后想要取證也難���,所以必須禁止Guest和匿名用戶訪問事件日志�����,我利用修改注冊(cè)表的方法來達(dá)到了禁止Guest訪問事件日志的目的����。
方法如下:
打開注冊(cè)表編輯器(在[開始]→[運(yùn)行]框中輸入“regedit”回車)�;
禁止查看應(yīng)用日志
定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog \Application
新建一個(gè)雙字節(jié)值,名稱為:RestrictGuestAccess�����,值設(shè)為1���。
禁止查看系統(tǒng)日志
定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System
新建一個(gè)雙字節(jié)值����,名稱為:RestrictGuestAccess,值設(shè)為1����。
禁止查看安全日志
在默認(rèn)安裝情況下,安全日志只有管理員才能查看���。但是為避免別人在本地安全策略中修改權(quán)限����,我們?nèi)钥梢孕薷淖?cè)表要達(dá)到禁止查看的目的��。定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ Security
新建一個(gè)雙字節(jié)值����,名稱為:RestrictGuestAccess,值設(shè)為1�。
設(shè)置完以后,關(guān)閉注冊(cè)表編輯器�,重新啟動(dòng)計(jì)算機(jī),以普通的Guest用戶登錄一看�,哈哈�,Guest用戶已經(jīng)不能查看事件日志了,就這樣我輕松地保護(hù)了這幾臺(tái)計(jì)算機(jī)的事件日志,這些日志只有我這個(gè)管理員才可以查看�,為避免自己的行為被日志記錄后被我警告,那些人再也不敢亂動(dòng)機(jī)器了�。
------------------------------- · 相關(guān)文檔瀏覽 · --------------------------------------------------------------------- · 熱門文檔瀏覽 · -------------------------------------
