幾乎Windows NT系統中的每一項事務都可以在一定程度上被審計，在Windows NT中可以在兩個地方打開審計——Explorer 和User Manager，在Explorer中，選擇【Securtiy】，再選擇【Auditing】以下的【DirectoryAuditing】對話框，系統管理員可以在這個窗口選擇跟蹤有效的和無效的文件訪問，在User Manager中，系統管理員可以根據各種用戶事件的成功和失敗選擇審計策略，如登錄和退出，文件訪問，權限非法和關閉系統等。 Windows NT 是使用一種特殊的格式存放它的日志文件，這種格式的文件可以被事件查看器 EventViewer讀取。事件查看器可以在Adminisrtative Tool程序組中找到。系統管理員可以使用事件查看器的【Filter】選項根據一定條件選擇要查看的日志條目，查看條件包括類別、用戶和消息類型。

　　Windows NT在三個分開的日志文件存放了審計信息：

　　Application Log：文件包括用NT SECURITY AUTHORITY注冊的應用程序產生的信息;

　　Security Log：包括有關通過Windows NT可識別安全提供者和客戶的系統訪問信息;

　　System Log：包含所有系統相關事件的信息。

　　Windows NT可以在Windows NT FTP連接的日志中記錄FTP連接，在注冊表中進行了修改后，你可以是否記錄由匿名的、正常用戶或者兩種用戶建立的連接，并可以在事件查看器中查看這些日志條目。利用Windows NT的HTTPDg事務，系統管理員可以在日志中記錄對特定文件訪問企圖。

　　微軟Windows NT服務器版中自帶終端服務Terminal Service是一個基于遠程桌面協議(RDP)的工具，它的

　　速度非�？�，也很穩定，可以成為系統管理員的一個很好的遠程管理軟件。但是因為這個軟件功能強大而且只受到密碼的保護，所以也非常的危險，一旦入侵者擁有了管理員密碼，就能夠像操作本機一樣操作遠

　　程服務器。雖然很多人都在使用終端服務來進行遠程管理，但是，并不是人人都知道如何對終端服務進行審核，大多數的終端服務器上并沒有找開終端登陸的日志。

　　打開日志審核很容易：在管理工具中打開遠程控制服務配置(Terminal Service Configration)單擊【連接】，右擊你想配置的RDP服務(比如RDP-TCP Microsoft RDP 5.0　，選中書簽【權限】，單擊左下角的【高級】。看見上面那個“審核”了么?我們加入一個Everyone組，這代表所有的用戶，然后審核電腦的“連接”、“斷開”、“注銷”的成功和“登錄”的成功和失敗就足夠了，審 太多了反而 好。這個審核是記錄在安全日志中的，可以從【管理工具】→【日志查看器】中查看。但美中不足的是：不記錄客戶端的IP(只能查看在線用戶的IP)，而是華而不實地記錄什么計算機名，我們可以建立一個叫做TSLog.bat的文件，這個文件可用來記錄登錄者的IP地址，內容如下：

　　time /t >>TSLog.lognetstat -n -p tcp | find 3389>>TSLog.logstart Explorer

　　這個文件的第一行是記錄用戶登錄的時間，“time /t”的意思是直接返回系統時間(如果不加/t，系統會等待你輸入新的時間)，然后我們用追用符號“>>“把這個時間記入TSLog.log作為日志的時間字段;第二行記錄的是用戶的IP地址，“netstat”是用來顯示當前網絡連接狀況的命令，“-n”表示顯示IP和端口而不是域名、協議，“-ptcp”是只顯示TCP協議，然后我們用管道符號“|”把這個命令的結果輸出給find命令，從輸出結果中查找包含“ 3389”的行(這就是我們要的客戶的IP所在的行，如果你更改了終端服務的端口，這個數值也要作相應的更改)。最后我們同樣把這個結果重定向到日志文件 TSLog.log 中去，于是在TSLog.log文件中，記錄格式如下：

　　22 40 TCP 192.168.12.28 3389192.168.10.123 4903 ESTABLISHED22 54 TCP 192.168.12.28 3389192.168.12.29 1039 ESTABLISHED

　　也就是說只要這個TSLog.bat一運行，所有連在3389端口上的IP都會被記錄，那么如何讓這個批處理文件自動運行呢?我們知道，終端服

【 頂部 】 【 關閉 】