審核管理是IT安全維運中極為重要的一環(huán)，因此無論是應用系統(tǒng)的導入、遠程聯(lián)機存取的規(guī)劃、后端數(shù)據庫系統(tǒng)的建置以及服務器作業(yè)平臺的存取等等，都需要提供這樣的基礎功能以落實企業(yè)e化安全的需求。

在Windows Server 2008預設的審核管理中，預設并沒有將所可以審核的項目全部啟用，管理員可以自行透過單一的成員服務器的本機安全策略，或是從域控制器來進行網域安全策略與域控制器安全策略來逐一部署審核設定原則，在此能夠啟用的審核項目包含了目錄服務存取、系統(tǒng)事件、對象存取、原則變更、特殊權限使用、賬戶登入事件、賬戶管理、登入事件以及程序追蹤，至于審核的內容則可以選擇成功或失敗，如果擔心到時候在事件檢視中的安全性事件過多，在此建議您至少要審核失敗的項目，只有這樣，才能夠在后續(xù)有效追蹤嘗試進行特定存取行為的用戶事件信息。

關于在Windows Server 2008的安全性審核管理中，這一項全新的AD DS的審核管理功能，是一項安全審核管理上非常重要，同時也是全新改良設計后的審核機制，它可以在Active Directory對象被異動時，同一時間下記錄舊版與新版的屬性設定值。而在舊版的Windows Server 2000與Windows Server 2003中，Active Directory的審核記錄只能夠顯示出有誰曾經修改過哪些對象屬性，但是在事件記錄中卻無法顯示出新舊版之間的屬性差異。例如，當Jovi修改了Landy用戶的地址字段數(shù)據之后，在審核記錄中只能夠查到Jovi在什么時間點去異動過，但是卻無法讓安全審核人員知道Jovi究竟更改過哪些字段數(shù)據，以及進行修改前與修改后的域值資料比對，有了Windows Server 2008之后，便可以讓公司的安全審核人員更能夠清楚掌握到這一些細節(jié)信息。

在早期舊版的Windows Server 2000與Windows Server 2003中，審核策略的設定項目只有一個，那就是“審核目錄服務存取”（Audit directory service access）可以設定而已，而在Windows Server 2008中，則 將 針 對目錄服務存取事件（DS 存?。┑膶徍藛⒂没蜿P閉，區(qū)分成了四項子類別項目可以來設定：目錄服務存?。―irectory Service Access）、目錄服務變更（Directory Service Changes）、目 錄 服務 復 寫（Directory Service Replication）、清單服務復寫（Detailed Directory Service Replication）。

但是，在Windows Server 2008的安全性審核管理中，除了可以同樣透過組策略或本機安全策略的圖形接口來管理之外，還可以透過一支名為AuditPol.exe的命令工具來管理。首先，我們可以在開啟命令提示列窗口之后，輸入AuditPol.exe/?命令參數(shù)即可得知這個工具有哪些命令可以搭配使用，這包括了可以對于審核策略設定進行組態(tài)內容的取得、修改設定、列出可設定的類別/子類別、備份與還原以及刪除等動作。

下面讓我們先來看看第一個AuditPol.exe命令的執(zhí)行。當我們輸入AuditPol.exe/list/category命令參數(shù)時，便可以把目前所有可以管理的最上層審核類別項目陳列出來，這包括了“DS 存取”、“原則變更”、“賬戶登入”、“帳戶管理”、“對象存取”、“特殊權限使用”、“登入注銷”、“系統(tǒng)”以及“詳細追蹤”等九大項。

假設我們只想針對有關于“DS 存取”類別中，可以設定的子項目進行查詢，則可以輸入AuditPol.exe/get/category: "DS 存取"命令參數(shù)即可得知。必須注意的是，這里所輸入的類別名稱必須依照實際操作系統(tǒng)的語系來輸入，像筆者所使用的是繁體中文版的 Windows Server 2008，因此，需要輸入繁體中文的名稱，如果是依照官方原文的文件數(shù)據中所提供的英文范例來輸入，則將會出現(xiàn)錯誤訊息。

在上一個AuditPol.exe命令范例中，我們是針對特定的一個審核類別項目，來查看它旗下可用的子類別有哪些，如果我們今天想要一次將所有審核類別與所有旗下的子類別項目都陳列出來時要怎么做呢？答案很簡單！輸入AuditPol.exe/get/category:*命令參數(shù)即可。

查看完所有可設定類別下的子類別之后，接下來我們就來設定一個子類別。如圖1所示，筆者輸入AuditPol.exe/set/subcategory:"登入"/failure:enable命令參數(shù)，這表示我們要對于“登入/注銷”類別下的“登入”審核加入啟用“失敗”的審核設定，完成設定之后我們便可以輸入AuditPol.exe/get/category:"登入/注銷"，來查看剛剛的子類別設定是否生效。

同樣，如果我們想針對目錄服務存取事件（DS 存?。┫碌摹澳夸浄兆兏眴⒂谩俺晒Α睂徍说脑O定，那么便可以輸入AuditPol.exe/set/subcategory:"目錄服務變更"/success:enable命令參數(shù)即可，這樣 ，今后對于這一方面的執(zhí)行事件都會被記錄在事件查看器之中。