由于我们单位的计算机不多,多人共用四台,以前使用Windows 98,简直让我伤透了脑筋,老是有人向我抱怨别人偷看了或是删改了他的文件(被重新编辑了或是删除)。而作为管理员的我,头痛的是根本就没有办法来监督每个人的操作。现在几台机器全部装上了Windows 2000,我可以对不同的用户赋予不同的权限,关键是可以限制登录用户去偷看或是删改其他用户的文件,而且我对所有用户的私人文件夹都设置了权限,并且使用了审核功能,只许本人使用。够严密了吧?可还是不可避免有个别用户想方设法要偷看其他用户的私人文件夹,怎么办呢?还好有了事件日志,通过它,我可以追踪这些让我不得安宁的坏人了,当然它也让我在维护计算机时轻松了不少。
什么是事件日志呢?事件日志是专门记录计算机硬件、软件和系统整体方面的错误信息,也记录一些安全方面的问题。Windows 2000有三种类型的事件日志:
1、系统日志
这种日志跟踪各种各样的系统事件,包括Windows系统组件出现的问题,比如跟踪系统启动过程中的事件、硬件和控制器的故障、启动时某个驱动程序加载失败等。
2、应用程序日志
这种日志跟踪应用程序关联的事件,比如应用程序产生的像装载DLL(动态链接库)失败的信息将出现在日志中。
3、安全日志
这种日志跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。只是安全日志的默认状态是关闭的,这是我在设置本地安全策略后才产生的。
在事件日志中,以下面几种情况来表示整个系统运行过程中出现的事件:
(1)“错误”是指比较严重的问题,通常是出现了数据丢失或功能丢失。
(2)“警告”则表明情况暂时不严重,但可能会在将来引起错误,比如磁盘空间太少等。
(3)“信息”则是记录运行成功的事件。
另外,安全日志则直接以成功审核和失败审核来标识事件的成功与否。
由此可见,在这些事件日志里,存放着一些非常重要的信息,因为它记录着所有用户的操作,包括被审计了的操作,但是在默认的情况下,Guest和匿名用户是可以查看事件日志的,个别别有用心的人做了坏事之后,总是想要查看事件日志上是否记录他的行为并且伺机抹掉他的活动痕迹,如删除日志文件,让我这个管理员事后想要取证也难,所以必须禁止Guest和匿名用户访问事件日志,我利用修改注册表的方法来达到了禁止Guest访问事件日志的目的。
方法如下:
打开注册表编辑器(在[开始]→[运行]框中输入“regedit”回车);
禁止查看应用日志
定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog \Application
新建一个双字节值,名称为:RestrictGuestAccess,值设为1。
禁止查看系统日志
定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System
新建一个双字节值,名称为:RestrictGuestAccess,值设为1。
禁止查看安全日志
在默认安装情况下,安全日志只有管理员才能查看。但是为避免别人在本地安全策略中修改权限,我们仍可以修改注册表要达到禁止查看的目的。定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ Security
新建一个双字节值,名称为:RestrictGuestAccess,值设为1。
设置完以后,关闭注册表编辑器,重新启动计算机,以普通的Guest用户登录一看,哈哈,Guest用户已经不能查看事件日志了,就这样我轻松地保护了这几台计算机的事件日志,这些日志只有我这个管理员才可以查看,为避免自己的行为被日志记录后被我警告,那些人再也不敢乱动机器了。
