“審核”功能就像Windows的晴雨表，據此我們可以了解計算機的一舉一動，并且可以根據這些信息來維護計算機系統的安全以及進行故障點排除。在Vista中，“審核”功能比以往更加強大，本文將和大家一起探討其在Vista下的應用。

　　1、啟用審核的策略

　　所謂的審核就是跟蹤，啟用相應的審核功能后系統就會跟蹤并記錄事件的過程，方便管理員查看。利用審核功能，我們不僅可以監視用戶在計算機上進行的操作，還可以根據系統運行狀態對故障進行排除。但是，開啟了審核就會降低系統的性能，因為系統為此需要耗費一部分資源用于記錄和存儲事件。因此，我們在啟用審核時要根據需要制訂審核策略。

　　作為管理員需要明確以下幾個方面：需要對哪些內容進行審核;是否合理設置了審核策略;哪些用戶有權訪問日志;由誰了負責收集和歸檔日志;日志備份的相關工作如何進行;日志丟失后如何處理;日志保存和審查的周期;審查日志需要用到的工具和措施;在日志中發現安全問題后如何處理等。只有這樣才能在審核好系統性能之間取得一個平衡。

　　2、配置審核策略

　　審核是對具體事件的過程進行監視和記錄，因此會將結果保存到系統的事件日志中。當然，除非開啟了相應的審核功能，否則Windows Vista不會記錄安全日志。開啟審核功能的方法是：依次單擊“開始”→“控制面板”→“系統和維護”→“管理工具”，打開“本地安全策略”控制臺。然后在“本地策略”→“審核策略”中找到相應的審核策略。

　　在Vista中可啟用的審核策略有9項之多，比如“審核特權使用”，用來記錄用戶在系統操作過程中行使除登錄、注銷和網絡之外的權限。“審核帳戶管理”，記錄用戶帳戶的創建、刪除、更改等事件。“審核進程跟蹤”，跟蹤并記錄進程的后臺運行，例如程序的激活，handle句柄的復制和對文件管理資源的訪問等。啟用各種審核策略的方法類似，至于啟用什么樣的審核策略，要根據自己安全需要進行選擇。(圖1)

　　例如要審核登錄事件，只需雙擊打開該策略，然后勾選審核包括事件的成功和失敗，最后單擊“定”即可。這樣Windows Vista就可以開始審核本地所有用戶帳戶的登錄事件，包括用戶成功登錄和登錄失敗，這樣有利用發現系統是否被非法登錄并被入侵。(圖2)