為了方便局域網(wǎng)用戶訪問，不少單位往往會將重要的數(shù)據(jù)信息上傳到類似Windows Server 2008系統(tǒng)的服務器中，并將這些數(shù)據(jù)信息設置成共享狀態(tài)發(fā)布出去，任何上網(wǎng)用戶都能憑借共享訪問賬戶自由訪問重要數(shù)據(jù)信息。然而，也有一些不安好心的訪問用戶，在共享訪問重要數(shù)據(jù)信息的過程中，隨意更改、刪除單位發(fā)布的重要信息，容易造成其他人員無法獲取準確的數(shù)據(jù)內容；那么我們能否找到一種合適的辦法，來自動監(jiān)控Windows Server 2008服務器系統(tǒng)中的共享內容變化情況，一旦發(fā)現(xiàn)共享內容被更改、刪除時，我們就能自動收到報警提示呢？其實很簡單，我們只要用好Windows Server 2008服務器系統(tǒng)中的審核功能，就能對其中的共享內容變化情況進行輕松自動監(jiān)控了！

巧用Windows2008審核之自動監(jiān)控思路

審核功能雖然不是Windows Server 2008服務器系統(tǒng)特有的功能，但是它配合該系統(tǒng)新推出的附加任務到事件功能，可以對賬戶狀態(tài)的變化、登錄狀態(tài)的變化、文件夾的變化等若干事件進行監(jiān)控，這自然也包括對共享文件夾中的內容變化進行監(jiān)控了。

為了實現(xiàn)自動監(jiān)控的目的，我們可以先用手工方法啟用針對共享文件夾的審核對象訪問策略，日后Windows Server 2008服務器系統(tǒng)中的目標共享資源一旦被他人訪問或修改時，對應系統(tǒng)的日志功能就會將該操作記錄記憶保存下來，此時我們可以針對這種類型的事件，附加一個自動報警任務，這樣一來只要目標共享文件夾的狀態(tài)發(fā)生變化，那么附加到對應操作記錄上的自動報警任務就可以自動運行，我們收到報警提示后，就能立即監(jiān)控到Windows Server 2008服務器系統(tǒng)的共享狀態(tài)變化了。

巧用Windows2008審核之啟用審核功能

大家知道，Windows Server 2008服務器系統(tǒng)在默認狀態(tài)下不會對共享文件夾的訪問操作進行跟蹤記錄，那么對應系統(tǒng)的日志功能自然也不會記錄共享文件夾的操作痕跡了；為了能夠觀察到共享文件夾的狀態(tài)變化，我們必須先要在Windows Server 2008服務器系統(tǒng)中啟用針對共享文件夾的審核對象訪問功能，只要該功能被成功啟用了，那么對應系統(tǒng)的日志功能就會把任何訪問共享文件夾的記錄保存到系統(tǒng)日志文件中了，日后我們才能針對某類特定的事件附加一個自動報警的任務計劃；下面是啟用Windows Server 2008服務器系統(tǒng)審核對象訪問功能的具體操作步驟：

首先依次單擊Windows Server 2008服務器系統(tǒng)桌面上的“開始”、“設置”、“控制面板”選項，打開對應系統(tǒng)的控制面板窗口，用鼠標雙擊其中的“管理工具”圖標，進入管理工具列表界面；

其次用鼠標雙擊該界面中的“本地安全策略”圖標，彈出對應系統(tǒng)的本地安全策略編輯界面，將鼠標定位于該界面左側位置處的“本地策略”分支項目上，再從目標分支下面依次選中“審核策略”、“審核對象訪問”選項，之后用鼠標右鍵單擊該選項，并執(zhí)行快捷菜單中的“屬性”命令，彈出如圖1所示的審核對象訪問屬性設置對話框； 

將該對話框中的“成功”復選項選中，同時單擊“確定”按鈕，這樣一來針對共享文件夾訪問操作的審核功能就被啟用成功了，日后我們通過網(wǎng)絡或在本地修改、刪除Windows Server 2008服務器系統(tǒng)中的共享內容時，對應系統(tǒng)的事件查看器程序就會將這些操作記錄自動記憶保存下來。

巧用Windows2008審核之記錄共享操作

為了讓共享狀態(tài)變化的監(jiān)控結果自動通知給用戶，我們需要想辦法創(chuàng)建一個自動報警任務，以便在Windows Server 2008服務器系統(tǒng)的共享狀態(tài)發(fā)生變化的那一刻，該報警任務能夠自動觸發(fā)運行，實現(xiàn)通知、提示用戶的目的。要做到這一點，我們必須先在本地服務器系統(tǒng)中生成一個共享訪問記錄，只有這樣自動報警任務才能附加到這類操作事件上，下面是手工生成共享訪問記錄事件的操作步驟：

首先從局域網(wǎng)中任意選擇一臺普通工作站系統(tǒng)，通過網(wǎng)絡遠程登錄進Windows Server 2008服務器系統(tǒng)，并嘗試修改目標共享文件夾中的內容，修改完畢后，對應系統(tǒng)的日志功能就會將該操作記錄記憶保存下來；

其次用鼠標右鍵單擊Windows Server 2008服務器系統(tǒng)桌面上的“計算機”圖標，從彈出的快捷菜單中執(zhí)行“管理”命令，打開對應系統(tǒng)的計算機管理窗口，從該管理窗口的左側列表中依次展開“系統(tǒng)工具”、“事件查看器”、“Windows日志”、“系統(tǒng)”分支選項（如圖2所示），在對應“系統(tǒng)”分支選項的右側列表區(qū)域中，我們就能找到剛才生成的共享訪問操作記錄了。

巧用Windows2008審核之實現(xiàn)監(jiān)控報警

盡管Windows Server 2008服務器系統(tǒng)的日志功能可以自動記憶共享訪問操作的痕跡，可是它無法將其監(jiān)控、記錄的結果自動通知給服務器系統(tǒng)的“主人”，為了實現(xiàn)自動監(jiān)控報警的目的，我們可以按照下面的操作將自動報警任務附加到共享訪問操作記錄上，日后只要相同類型的事件再次生成時，那么該自動報警任務就能自動執(zhí)行了，到時服務器系統(tǒng)的“主人”就能收到相應的報警提示了：

首先按照前面的操作打開Windows Server 2008服務器系統(tǒng)的計算機管理窗口，從該管理窗口的左側列表中依次展開“系統(tǒng)工具”、“事件查看器”、“Windows日志”、“系統(tǒng)”分支選項，在對應“系統(tǒng)”分支選項的右側列表區(qū)域中，選中剛才生成的共享訪問操作記錄選項；

其次用鼠標右鍵單擊該記錄選項，從彈出的快捷菜單中執(zhí)行“將任務附加到此事件”命令，打開自動報警任務的創(chuàng)建向導對話框，依照向導屏幕的提示先將該任務名稱取為“自動監(jiān)控共享狀態(tài)”，之后單擊“下一步”按鈕，向導屏幕會彈出一些提示信息，在確認這些內容正確無誤后，再單擊“下一步”按鈕，彈出如圖3所示的設置對話框；

在該對話框中，我們看到Windows Server 2008服務器系統(tǒng)為用戶提供了三種報警提示方式：啟動應用程序、發(fā)送電子郵件、顯示報警信息等，在這里我們可以選用更為顯眼的報警提示方式——“顯示消息”選項，之后將報警消息的標題設置為“監(jiān)控共享狀態(tài)”，將報警提示的內容設置為“注意！服務器中共享內容的狀態(tài)已經(jīng)發(fā)生變化！”，最后點擊“完成”按鈕結束自動報警任務的創(chuàng)建操作。

到了這里，Windows Server 2008服務器系統(tǒng)就可以對其中的共享文件夾狀態(tài)變化進行自動監(jiān)控、報警了。日后，只要有惡意用戶通過局域網(wǎng)網(wǎng)絡偷偷更改、刪除本地服務器系統(tǒng)中時，Windows Server 2008系統(tǒng)屏幕上就會自動出現(xiàn)報警提示，告訴我們“注意！服務器中共享內容的狀態(tài)已經(jīng)發(fā)生變化！”，見到這樣的報警提示，我們就能在第一時間知道本地共享資源可能已經(jīng)被他人修改或訪問了，到時我們就能采取針對性措施進行安全防范了。

【編輯推薦】

1. Windows Server 2008下細粒度口令策略的實現(xiàn)
2. Windows Server 2008藍屏漏洞揭秘
3. Server 2008新功能 遠程管理Windows2008服務器