在这个练习中,你将将研究Windows 2000中失败的登录企图。
1.以Administrator的身份登录。
2.打开嵌入式管理单元Local Security Policy。
3.到Local Policies→Audit Policy中。并且对下面每一个事件进行配置:
*Audit Account Logon Events:Success,Failure
*Audit Account Management:Success,Failure
*Audit Logon Events:Success,Failure
*Audit Policy Change:Success,Failure
*Audit Privilege Use:Failure
*Audit System Events:Failure
4.从系统中注销。
5.以Administrator身份重复几次失败的登录。
6.以Administrator身份登录进入系统
7.打开Event Viewer.
8.在Event Viewer中,查看Security Log窗口。
9.搜寻记录失败登录企图的正确数字(如果你需要指导,可以查看前面的审核项列表)。
10.注销,随后以Administrator注册进入系统,并且查看EventViewer.
11.清除Security和System日志。
12.现在重新启动Windows 2000并以Administrator重新登录。
13.打开Event Viewer并查看系统日志。
14.按下机器上的电源按钮并保持五秒钟以上,Windows2000将会突然关闭。
15.打开Event Viewer并找到6008号事件。
说明:考虑一下对操作系统进行审核的效果,你会选择审核哪些事件?
