Na documentação oficial do Windows XP, encontramos algumas recomendações sobre as opções de auditoria que devem ser habilitadas. A seguir coloco estas recomendações.

Recomendações da documentação Oficial do Windows XP, sobre auditoria de eventos:

Para minimizar o risco de ameaças à segurança, há diversas medidas de auditoria que podem ser tomadas. A seguir temos uma lista dos vários eventos para os quais aconselhamos que seja feita uma auditoria, bem como a ameaça específica à segurança que o evento de auditoria monitora.

• Auditoria de falha ao fazer logon/logoff: Serve como prevenção para uma violação por senha aleatória, isto é, para programas que tentam várias senhas, na tentativa de “adivinhar” a senha do usuário. A melhor maneira de se prevenir deste tipo de ataque é configurando as políticas de senha, para que a senha seja bloqueada após três ou quatro tentativas de logon sem sucesso.
• Auditoria de êxito ao fazer logon/logoff: Serve como uma proteção para o caso de violação por senha roubada, ou seja, para detectar quando um usuário conseguiu descobrir a senha de outro(s) usuário(s).
• Auditoria em caso de êxito em eventos de uso de privilégios, gerenciamento de usuários e grupos, diretivas de alteração de segurança, reinicialização, desligamento e sistema: Utilizada para detectar o uso incorreto dos privilégios, ou a tentativa de utilizar estes privilégios, por usuários não autorizados. Por exemplo, para detectar se um usuário que não tem permissão para instalar novos programas e que está tentando instalar programas.
• Auditoria em caso de êxito ou falha para eventos de acesso a arquivos e objetos. Auditoria em caso de êxito ou falha do Gerenciador de arquivos no acesso de leitura/gravação a arquivos confidenciais por usuários ou grupos suspeitos: Utilizada para monitorar o acesso indevido a arquivos confidenciais, como por exemplo o banco de dados com informações sobre salários, finanças ou com os dados da contabilidade da empresa.
• Auditoria em caso de êxito ou falha para eventos de acesso a objetos e impressoras com acesso a arquivos. Auditoria em caso de êxito ou falha do Gerenciador de impressão no acesso a impressoras por usuários ou grupos suspeitos: Utilizada para detectar o acesso impróprio a impressoras, como por exemplo um usuário tentando imprimir um grande número de cópias após o expediente, o que normalmente caracteriza o uso da impressora da empresa para impressão de trabalhos pessoais.
• Auditoria em caso de êxito ou falha no acesso à gravação de arquivos de programa (extensões .exe e .dll). Auditoria em caso de êxito ou falha no controle de processos. Execução de programas suspeitos; análise do log de segurança para verificar se há tentativas inesperadas de modificar arquivos de programa ou criar processos inesperados. Execução apenas quando o log do sistema estiver sendo monitorado ativamente: Utilizada para detectar quaisquer tentativas de modificar arquivos fundamentais para o funcionamento do Windows XP, o que pode acontecer, por exemplo, no caso de uma infecção por vírus.

Estas são apenas recomendações gerais. A política de segurança da empresa é que irá definir, dentro das necessidades de cada empresa, quais eventos serão auditados e qual a forma de análise destes eventos.