高级安全审核策略设置

发布日期： 2016年8月

适用于： Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8

本参考中的 IT 专业人员提供了有关 Windows 操作系统中可用的高级审核策略设置和它们所生成的审核事件的信息。

53 安全审核策略设置下的 安全设置 \ 高级审核策略配置 可帮助您的组织的重要的业务相关和与安全相关规则合规性审核通过跟踪精确地定义的活动，如︰

• 组管理员已修改的设置或包含财务信息的服务器上的数据。

• 定义组中的某位员工访问了重要的文件。

• 可验证的保护措施，防止未检测到的访问情况下，正确的系统访问控制列表 (SACL) 应用到计算机或文件共享上的每个文件和文件夹或注册表项。

可以通过本地安全策略的管理单元 (secpol.msc) 在本地计算机上或通过使用组策略来访问这些审核策略设置。

这些高级审核策略设置允许您选择仅想要监视的行为。 您可以排除审核结果以供您选择，很少或根本不关注的那些行为或进行创建过多的日志条目的行为。 此外，由于可以通过使用域组策略对象应用安全审核策略，审核策略设置可以修改、 测试或部署到所选的用户和组变得相对简单。

当配置高级安全审核策略设置时，事件将显示在所指定在运行支持的 Windows 操作系统版本的计算机上 适用于 本主题开头此外到 Windows Server 2008 和 Windows Vista 列表。

审核策略设置下的 安全设置 \ 高级审核策略配置 有以下几类︰

• 帐户登录

  此类别中配置的策略设置可以帮助您文档尝试进行身份验证的域控制器上或在本地安全帐户管理器 (SAM) 帐户数据。 与不同的登录和注销策略设置和事件，其中一个轨道尝试访问特定的计算机时，设置此类别中的事件专注于使用的帐户数据库。 此类别包括以下子类别︰

  • 审核凭据验证

  • 审核 Kerberos 身份验证服务

  • 审核 Kerberos 服务票证操作

  • 审核的其他登录/注销事件

• 帐户管理

  安全审核的策略设置在此类别中的可以用于监视的更改的用户和计算机帐户和组。 此类别包括以下子类别︰

  • 审核应用程序组管理

  • 审核计算机帐户管理

  • 审核通讯组管理

  • 审核帐户管理的其他事件

  • 审核安全组管理

  • 审核用户帐户管理

• 详细的跟踪

  监视单个应用程序和在该计算机上的用户的活动并了解如何使用一台计算机，则可以使用详细的跟踪安全策略设置和审核事件。 此类别包括以下子类别︰

  • 审核 DPAPI 活动

  • 审核进程创建

  • 审核进程终止

  • 审核 RPC 事件

• DS 访问

  DS Access 安全审核策略设置提供了详细的审核跟踪的尝试来访问和修改 Active Directory 域服务 (AD DS) 中的对象。 这些审核事件记录仅对域控制器。 此类别包括以下子类别︰

  • 审核详细的目录服务复制

  • 审核目录服务访问

  • 审核目录服务更改

  • 审核目录服务复制

• 登录/注销

  登录/注销安全策略设置并审核事件可以跟踪尝试登录到计算机上以交互方式或通过网络。 这些事件是用于跟踪用户活动和识别潜在的攻击对网络资源特别有用。 此类别包括以下子类别︰

  • 审核帐户锁定

  • 审核 IPsec 扩展模式

  • 审核 IPsec 主模式

  • 审核 IPsec 快速模式

  • 审核注销

  • 审核登录

  • 审核网络策略服务器

  • 审核的其他登录/注销事件

  • 审核特殊登录

• 对象访问

  对象访问策略设置和审核事件允许您跟踪特定对象或类型的网络或计算机上的对象访问尝试。 若要审核文件、 目录、 注册表项或任何其他对象的访问尝试，必须启用合适对象访问审核子类别的成功和/或失败的事件。 例如，需要启用审核文件操作的文件系统子类别和注册表子类别需要启用审核注册表访问。

  证明这些审核策略是实际上为外部审计报告会更加困难。 没有简单方法来验证已在所有继承的对象上设置适当的 Sacl。 若要解决此问题，请参阅 No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'.。

  此类别包括以下子类别︰

  • 审核生成应用程序

  • 审核证书服务

  • 审核详细的文件共享

  • 审核文件共享

  • 审核文件系统

  • 审核筛选平台连接

  • 审核筛选平台数据包丢弃

  • 审核句柄操作

  • 审核内核对象

  • 审核对象访问的其他事件

  • 审核注册表

  • 审核 SAM

• 策略更改

  策略更改审核事件可用于跟踪重要的安全策略的更改在本地系统或网络上。 由于策略通常由管理员来帮助安全的网络资源，监视更改或尝试更改这些策略可以是网络的安全管理的一个重要方面。 此类别包括以下子类别︰

  • 审核审核策略更改

  • 审核身份验证策略更改

  • 审核授权策略更改

  • 筛选平台策略更改的审核

  • 审核 MPSSVC 规则级别策略更改

  • 审核其他策略更改事件

• 权限使用

  在网络上的权限授予用户或计算机才能完成已定义的任务。 权限使用安全策略设置并审核事件可以跟踪一个或多个系统上的某些权限的使用。 此类别包括以下子类别︰

  • 审核不敏感特权使用

  • 审核敏感权限使用

  • 审核特权使用的其他事件

• System (系统)

  系统安全策略设置和审核事件允许您跟踪到一台计算机，不包括其他类别中，并且具有潜在的安全隐患的系统级更改。 此类别包括以下子类别︰

  • 审核 IPsec 驱动程序

  • 审核的其他系统事件

  • 审核安全状态更改

  • 审核的系统安全扩展插件

  • 审核系统完整性

• 全局对象访问

  全局对象访问审核策略设置允许管理员定义的计算机系统访问控制列表 (Sacl) 的每个对象类型的文件系统或注册表。 然后，指定的 SACL 是自动应用于该类型的每个对象。

  审计人员将能够证明系统中的每个资源进行保护的审核策略通过查看全局对象访问审核策略设置的内容。 例如，如果审核员看到了名为"跟踪所做的组管理员的所有更改"的策略设置，他们知道此策略将发挥作用。

  资源 Sacl 也是有用的诊断方案。 例如，设置全局对象访问审核策略，以记录其指定的用户和启用策略来跟踪文件系统或注册表的"拒绝访问"事件的所有活动可帮助管理员快速识别系统中的哪个对象拒绝用户访问。

  备注

  如果在计算机上配置了一个文件或文件夹 SACL 和全局对象访问审核策略设置 （或单个注册表设置 SACL 和全局对象访问审核策略设置），有效 sacl 是通过组合文件或文件夹 SACL 和全局对象访问审核策略。 这意味着如果某个活动匹配文件或文件夹 SACL 或者全局对象访问审核策略，则会生成一个审核事件。

  此类别包括以下子类别︰

  • 文件系统 (全局对象访问审核)

  • 注册表 (全局对象访问审核)