高级安全审核策略设置
发布日期: 2016年8月
适用于: Windows 7,Windows 8.1,Windows Server 2008 R2,Windows Server 2012 R2,Windows Server 2012,Windows 8
本参考中的 IT 专业人员提供了有关 Windows 操作系统中可用的高级审核策略设置和它们所生成的审核事件的信息。
53 安全审核策略设置下的 安全设置 \ 高级审核策略配置 可帮助您的组织的重要的业务相关和与安全相关规则合规性审核通过跟踪精确地定义的活动,如︰
组管理员已修改的设置或包含财务信息的服务器上的数据。
定义组中的某位员工访问了重要的文件。
可验证的保护措施,防止未检测到的访问情况下,正确的系统访问控制列表 (SACL) 应用到计算机或文件共享上的每个文件和文件夹或注册表项。
可以通过本地安全策略的管理单元 (secpol.msc) 在本地计算机上或通过使用组策略来访问这些审核策略设置。
这些高级审核策略设置允许您选择仅想要监视的行为。 您可以排除审核结果以供您选择,很少或根本不关注的那些行为或进行创建过多的日志条目的行为。 此外,由于可以通过使用域组策略对象应用安全审核策略,审核策略设置可以修改、 测试或部署到所选的用户和组变得相对简单。
当配置高级安全审核策略设置时,事件将显示在所指定在运行支持的 Windows 操作系统版本的计算机上 适用于 本主题开头此外到 Windows Server 2008 和 Windows Vista 列表。
审核策略设置下的 安全设置 \ 高级审核策略配置 有以下几类︰
帐户登录
此类别中配置的策略设置可以帮助您文档尝试进行身份验证的域控制器上或在本地安全帐户管理器 (SAM) 帐户数据。 与不同的登录和注销策略设置和事件,其中一个轨道尝试访问特定的计算机时,设置此类别中的事件专注于使用的帐户数据库。 此类别包括以下子类别︰
帐户管理
安全审核的策略设置在此类别中的可以用于监视的更改的用户和计算机帐户和组。 此类别包括以下子类别︰
详细的跟踪
监视单个应用程序和在该计算机上的用户的活动并了解如何使用一台计算机,则可以使用详细的跟踪安全策略设置和审核事件。 此类别包括以下子类别︰
DS 访问
DS Access 安全审核策略设置提供了详细的审核跟踪的尝试来访问和修改 Active Directory 域服务 (AD DS) 中的对象。 这些审核事件记录仅对域控制器。 此类别包括以下子类别︰
登录/注销
登录/注销安全策略设置并审核事件可以跟踪尝试登录到计算机上以交互方式或通过网络。 这些事件是用于跟踪用户活动和识别潜在的攻击对网络资源特别有用。 此类别包括以下子类别︰
对象访问
对象访问策略设置和审核事件允许您跟踪特定对象或类型的网络或计算机上的对象访问尝试。 若要审核文件、 目录、 注册表项或任何其他对象的访问尝试,必须启用合适对象访问审核子类别的成功和/或失败的事件。 例如,需要启用审核文件操作的文件系统子类别和注册表子类别需要启用审核注册表访问。
证明这些审核策略是实际上为外部审计报告会更加困难。 没有简单方法来验证已在所有继承的对象上设置适当的 Sacl。 若要解决此问题,请参阅 No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'.。
此类别包括以下子类别︰
策略更改
策略更改审核事件可用于跟踪重要的安全策略的更改在本地系统或网络上。 由于策略通常由管理员来帮助安全的网络资源,监视更改或尝试更改这些策略可以是网络的安全管理的一个重要方面。 此类别包括以下子类别︰
权限使用
在网络上的权限授予用户或计算机才能完成已定义的任务。 权限使用安全策略设置并审核事件可以跟踪一个或多个系统上的某些权限的使用。 此类别包括以下子类别︰
System (系统)
系统安全策略设置和审核事件允许您跟踪到一台计算机,不包括其他类别中,并且具有潜在的安全隐患的系统级更改。 此类别包括以下子类别︰
全局对象访问
全局对象访问审核策略设置允许管理员定义的计算机系统访问控制列表 (Sacl) 的每个对象类型的文件系统或注册表。 然后,指定的 SACL 是自动应用于该类型的每个对象。
审计人员将能够证明系统中的每个资源进行保护的审核策略通过查看全局对象访问审核策略设置的内容。 例如,如果审核员看到了名为"跟踪所做的组管理员的所有更改"的策略设置,他们知道此策略将发挥作用。
资源 Sacl 也是有用的诊断方案。 例如,设置全局对象访问审核策略,以记录其指定的用户和启用策略来跟踪文件系统或注册表的"拒绝访问"事件的所有活动可帮助管理员快速识别系统中的哪个对象拒绝用户访问。
备注
如果在计算机上配置了一个文件或文件夹 SACL 和全局对象访问审核策略设置 (或单个注册表设置 SACL 和全局对象访问审核策略设置),有效 sacl 是通过组合文件或文件夹 SACL 和全局对象访问审核策略。 这意味着如果某个活动匹配文件或文件夹 SACL 或者全局对象访问审核策略,则会生成一个审核事件。
此类别包括以下子类别︰