安全性稽核概觀

適用於: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

本的 IT 專業人員的技術概觀描述的安全性稽核功能的 Windows 以及如何組織有哪些好處使用這些技術來加強安全性和管理網路的能力。

您是不是要尋找…

安全性原則設定參考

事件檢視器

功能說明

安全性稽核是功能強大的工具可以協助維護企業的安全性。 稽核可用於各種用途，包括鑑識分析、 監視使用者活動和疑難排解的法規相符性。 在不同國家或地區的業界法規要求企業實作嚴格的一組與資料安全性和隱私權相關的規則。 安全性稽核可以協助實作這類原則並證明已實作這些原則。 此外，安全性稽核可以用於鑑識分析來協助偵測異常行為來識別和減輕安全性原則中的間距和來阻擋太沒責任感了行為藉由追蹤重要的使用者活動的系統管理員。

實際應用

您可以使用 Windows 安全性和系統記錄檔以建立安全性事件追蹤系統，來記錄來減輕這些風險可能有害行為與相關聯的存放區的網路活動。 您可以啟用稽核例如為基礎的安全性事件類別目錄:

• 變更使用者帳戶和資源的權限。

• 嘗試失敗的使用者登入。

• 存取資源的嘗試失敗。

• 系統檔案變更。

在 Windows Server 2008 R2 和 Windows 7 的安全性稽核原則設定數目已增加從九個到 53，並與群組原則進行整合所有的稽核功能。 這可讓系統管理員設定、 部署和管理各種不同的群組原則管理主控台 (GPMC) 或網域、 站台或組織單位 (OU) 的 [本機安全性原則嵌入式管理單元中的設定。 這可方便 IT 專業人員在網路上的精確地定義的重要活動進行追蹤。 如需詳細資訊，請參閱進階安全性稽核原則設定。

新功能和變更的功能

中的安全性稽核的功能沒有任何新的變更Windows Server 2012 R2。

在Windows Server 2012、 安全性稽核變更所導入用於下列用途：

• **減少稽核數量。**您可以針對特定的檔案和使用者根據資源的屬性和使用者與裝置宣告的稽核原則。

• **改善稽核原則的管理能力。**導入全域物件存取稽核來強制執行安全性稽核原則在資源上的應用程式提供有效的方法。 結合全域物件存取稽核宣告和動態存取控制可讓您採取這項全域的強制機制並將它套用到更精確的一段可能感興趣的活動。

• **提升能力找出重要的安全性稽核資料。**現有資料存取事件可以記錄有關使用者、 電腦及資源宣告的其他資訊。 這可讓您方便事件收集和分析工具以設定為快速取得最相關的事件資料。

• **啟用安全性稽核的卸除式存放裝置。**越來越受歡迎的卸除式存放裝置可讓他們嘗試使用需要監視有重大的安全性考量。

動態宣告為基礎的稽核會產生更精確且更容易管理的稽核原則。 它可讓已無法或者設定太難的案例。 除了這些增強功能，新的稽核事件和動態存取控制 (DAC) 原則項目追蹤變更的類別包括：

• 在檔案上的資源屬性

• 與檔案相關聯的集中存取原則

• 使用者和裝置宣告

• 資源屬性定義

• 集中存取原則和集中存取規則定義

以下為系統管理員可以編寫的稽核原則範例：

• 而 「 高 」 安全性許可使用者嘗試存取文件分類為高商業影響 (HBI) 的任何人 — 例如，Audit |每個人都 |All-access |Resource.businessimpact = hbi 和 user.securityclearance! = high。

• 稽核所有廠商都在存取他們不在執行工作的專案相關的文件時 — 例如，Audit |每個人都 |All-access |User.employmentstatus 和 User.Project Not_AnyOf Resource.Project。

這些原則可以協助控制稽核事件的數量，並限制只稽核最相關的資料或使用者。

若要跨組織提供事件的完整檢視，Microsoft 正與合作夥伴共同提供事件收集和分析工具，例如 Microsoft System Center。

管理安全性稽核

若要使用安全性稽核，您需要設定物件，系統存取控制清單 (SACL) 並將適當的安全性稽核原則套用到使用者或電腦。 如需詳細資訊，請參閱管理安全性稽核。

管理進階安全性稽核的相關資訊，請參閱進階的安全性稽核逐步解說。

如需稽核的動態存取控制資訊，請參閱使用進階的安全性稽核選項 」 來監視動態存取控制物件。

相關資源