本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

生成安全审核

 

适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

介绍本安全策略参考主题面向 IT 专业人员的最佳实践、 位置、 值、 策略管理和有关此策略设置的安全注意事项。

此策略设置确定哪些帐户可以由一个进程在安全日志中生成审核记录。 本地安全机构子系统服务将事件写入日志。 您可以使用安全日志中的信息来跟踪未经授权的计算机访问。

此策略设置中指定的 Windows 的版本上支持应用于本主题开头的列表。

常量:SeAuditPrivilege

  • 用户定义的帐户的列表

  • 本地服务

  • Network Service (网络服务)

  1. 由于帐户受到侵害时如果审核日志可能会攻击隐患,因此应确保只有本地服务和网络服务帐户具有生成安全审核用户权限分配给它们。

G p o\Computer Configuration\Windows 设置 \ 安全设置 \ 本地策略 \ 用户权限分配

默认情况下,此设置在域控制器和独立服务器上为本地服务和网络服务。

下表列出最新的受支持版本的 Windows 的实际和有效的默认策略值。 默认值还会列出该策略的属性页上。

服务器类型或 GPO

默认值

默认域策略

未定义

默认域控制器策略

本地服务

Network Service (网络服务)

独立服务器默认设置

本地服务

Network Service (网络服务)

域控制器有效默认设置

本地服务

Network Service (网络服务)

成员服务器有效默认设置

本地服务

Network Service (网络服务)

客户端计算机有效默认设置

本地服务

Network Service (网络服务)

在此策略设置中指定的 Windows 的受支持版本之间的工作的方式没有差别应用于本主题开头的列表。

本部分介绍的功能、 工具和指南来帮助你管理此策略。

重新启动计算机不需要为此策略设置才能生效。

该帐户的所有者在下次登录的时,帐户用户权限分配到的任何更改才会生效。

滥用此用户权限可能导致许多审核事件,可能会隐藏攻击的证据或如果导致拒绝服务 (DoS) 生成审核:如果无法记录安全审计则立即关闭系统启用了安全策略设置。 有关详细信息请参阅审核:如果无法记录安全审计则立即关闭系统

按以下顺序通过组策略对象 (GPO),这将覆盖在下一步的组策略更新本地计算机上的设置应用设置:

  1. 本地策略设置

  2. 网站策略设置

  3. 域策略设置

  4. OU 策略设置

当本地设置灰显时,它表示一个 GPO 当前控制该设置。

本部分将介绍攻击如何利用一项功能或其配置中,如何实现对策一样,以及可能的对策实现的负面后果。

恶意用户可以使用可以写入安全日志,以该日志填满毫无意义的事件使用的帐户。 如果计算机配置为按需要覆盖事件,恶意用户可以使用此方法中删除其未经授权的活动的证据。 如果计算机配置为关闭状态时无法写入安全日志的情况下并且未配置为自动备份的日志文件,此方法无法用于创建 DoS 的情况。

确保仅本地服务和网络服务帐户具有生成安全审核用户权限分配给它们。

无。 限制生成安全审核用户权限的 Local Service 和 Network Service 帐户是默认配置。

显示: