安全审核概述

适用对象：Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

本技术概述面向 IT 专业人员介绍的安全审核中的功能 Windows 以及您的组织将如何从使用这些技术增强的安全性和可管理性的您的网络中获益。

是否就是…

安全策略设置参考资料

事件查看器

功能描述

安全审核是功能强大的工具来帮助维护企业的安全性。 审核可以用于各种用途，包括取证分析，而法规遵从性，监视用户活动和故障排除。 在各种国家或地区的行业法规要求企业实现一组严格的规则与数据安全和隐私相关。 安全审核可以帮助实现此类策略和证明已实现这些策略。 此外，安全审核可以用于取证分析可帮助管理员检测异常行为，以识别和缓解安全策略中的空白并通过跟踪关键用户活动遏制不负责任的行为。

实际的应用程序

您可以使用 Windows 安全和系统日志以创建安全事件跟踪系统，以记录以及与可能有害的行为，并缓解这些风险相关联的存储网络活动。 您可以启用审核如基于对安全事件的类别：

• 对用户帐户和资源权限的更改。

• 由用户登录的失败尝试次数。

• 访问资源的尝试失败。

• 对系统文件的更改。

在 Windows Server 2008 R2 和 Windows 7 中，从 9 到 53，增加了安全审核策略设置的数量和所有审核功能与组策略相集成。 这允许管理员配置、 部署和管理范围广泛的组策略管理控制台 (GPMC) 或本地安全策略的管理单元为域、 站点或组织单位 (OU) 中的设置。 这样便于 IT 专业人员会跟踪何时精确定义、 重要活动需要网络上的位置。 有关详细信息，请参阅 高级安全审核策略设置。

新功能和更改的功能

安全审核中的功能中有任何新的更改Windows Server 2012 R2。

在Windows Server 2012，对安全审核的更改引入用于下列目的：

• **减少审核的数量。**您可以指定目标向特定文件和用户根据资源属性和用户和设备声明的审核策略。

• **提高审核策略的可管理性。**全局对象访问审核引入为强制对资源的安全审核策略的应用程序提供一种有效手段。 与声明和动态访问控制相结合全局对象访问审核，可采用此全局强制机制并将其应用于一组更精确的具有潜在利益的活动。

• **提高能力找到关键的安全审核数据。**现有的数据访问事件可以记录有关用户、 计算机和资源声明的其他信息。 这使得事件收集和分析工具将配置为快速获取最相关的事件数据更容易。

• **启用安全审核的可移动存储设备。**可移动存储设备的日益普及使得其尝试使用需要监视重要的安全问题。

动态基于声明的审核会导致更精确、 更容易管理审核策略。 它使已不可能或很难配置的方案。 除了这些改进，新的审核事件和跟踪对动态访问控制 (DAC) 策略元素的更改的类别包括：

• 在文件上的资源属性

• 与文件相关联的中心访问策略

• 用户和设备声明

• 资源属性定义

• 中心访问策略和中心访问规则定义

以下是管理员可以编写的审核策略示例：

• 任何没有用户试图访问文档归类为高业务影响 (HBI) 的"高级"安全间隙 — 例如，Audit |每个人都 |All-access |Resource.businessimpact = hbi 和 user.securityclearance! = high。

• 审核所有供应商在访问与未处理的项目相关的文档时例如，Audit |每个人都 |All-access |User.employmentstatus = vendor 和 User.Project Not_AnyOf Resource.Project。

这些策略有助于控制审核事件的数量，并将它们仅限制为相关性最高的数据或用户。

若要提供整个组织内的事件的完整视图，Microsoft 正在与合作伙伴一起提供事件收集和分析工具如 Microsoft System Center 中。

管理安全审核

若要使用安全审核，您需要配置对于对象，系统访问控制列表 (SACL) 并将适当的安全审核策略应用于用户或计算机。 有关详细信息，请参阅管理安全审核。

有关管理高级安全审核的信息，请参阅高级的安全审核演练。

有关审核的动态访问控制的信息，请参阅使用高级的安全审核选项监视动态访问控制的对象。

相关资源