2023年11月27日发(作者:)

Windows Server 2008 R2 Windows 7

中的审核增强功能支持对负责实现、维护和监视组织的物理和信息资产

的现行安全的专业人士的需要。

IT

这些设置可以帮助管理员回答诸如以下内容的问题:

谁正在访问我们的资产?

他们正在访问哪些资产?

他们在何时何地访问这些资产?

如何获得访问权限?

安全意识和取证跟踪的期望是这些问题之后的重要动力。越来越多的组织审核员要求并评估该信息的质量。

是否有其他特殊注意事项?

很多特殊注意事项适用于与中与审核增强功能关联的各种任务:

Windows Server 2008 R2 Windows 7

创建审核策略。若要创建高级安全审核策略,必须在运行

Windows Windows Server 2008 R2

(安装远程服务器管理工具之后,可以在运的计算机上使用或本地安全策略管理单元。

Windows 7 GPMC

的计算机上使用。)

Windows 7 GPMC

应用审核策略设置。如果使用组策略应用高级审核策略设置和全局对象访问设置,则客户端计算机必须运行

此外,只有运行

Windows Server 2008 R2 Windows 7 Windows Server 2008 R2 Windows 7

的计算机才能提供访问原因报告数据。

开发审核策略模型。若要计划高级安全审核设置和全局对象访问设置,必须使用以运行

Windows Server

2008 R2 GPMC

的域控制器为目标的

分发审核策略。开发包含高级安全审核设置的组策略对象之后,可以使用运行任何

(GPO) Windows

务器操作系统的域控制器对其进行分发。但是,如果无法将运行的客户端计算机放在单独的

Windows 7

OU Windows Management Instrumentation (WMI)

中,则应该使用筛选以确保仅将高级策略设置应

用于运行的客户端计算机。

Windows 7

备注

还可以将高级审核策略设置应用于运行 Windows Vista 的客户端计算机。但是,必须使用 登录

脚本单独为这些客户端计算机创建和应用审核策略。

重要事项

本地策略审核策略下的基本审核策略设置与高级审核策略配置下的高级设置一起使用可能会造成意外的结

果。因此,不应该将两组审核策略设置组合使用。如果使用高级审核策略配置设置,则应该启用本地策略安全选

下的审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置策略设置。这

将通过强制忽略基本安全审核来防止类似设置之间的冲突。

此外,若要计划和部署安全事件审核策略,管理员需要解决很多操作和战略问题,包括:

为什么需要审核策略?

哪些活动和事件对于组织最重要?

可以从审核策略中忽略哪些类型的审核事件?

希望占用管理员多少时间和网络资源来生成、收集和存储事件以及分析数据?

哪些版本包含此功能?

可以处理组策略的所有版本的都可以配置为使用这些安全审核增强功能。

Windows Server 2008 R2 Windows 7

无法加入域的版本无法访问这些功能。位和位版本的

Windows Server 2008 R2 Windows 7 32 64

Windows 7

之间的安全审核支持没有任何差别。

此功能提供了哪些新用途?

Windows Server 2008 R2 Windows 7

提供了以下新功能:全局对象访问审核、访问原因设置以及高级审核

策略设置。

全局对象访问审核

使用全局对象访问审核,管理员可以为文件系统或注册表定义每种对象类型的计算机。然后将指定的

SACL SACL

动应用于该类型的每个对象。

审核员将能够通过只查看全局对象访问审核策略设置的内容来证实系统中的每个资源受审核策略的保护。例如,策略设

跟踪组管理员所进行的所有更改将足以表明该策略有效。

资源对于诊断方案也非常有用。例如,将全局对象访问审核策略设置为记录特定用户的所有活动以及在资源(文

SACL

件系统、注册表)中启用访问失败审核策略将帮助管理员快速确定系统中的哪些对象拒绝用户访问。

备注

如果在计算机上配置了文件或文件夹 SACL 和全局对象访问审核策略(或者单个注册表设置 SACL 和全局对象访

问审核策略),则有效的 SACL 源于将文件或文件夹 SACL 和全局对象访问审核策略组合。这意味着如果活动与

文件或文件夹 SACL 或者全局对象访问审核策略匹配,则会生成一个审核事件。

访问原因设置

Windows

中有多个事件,无论操作成功还是失败都会进行审核。这些事件通常包括用户、对象和操作,但它们缺少允

许或拒绝该操作的原因。通过记录原因、基于的特定权限以及某个人访问企业资源的原因,在

Windows Server 2008

R2 Windows 7

中改进了取证分析和支持方案。

高级审核策略设置

中,可以使用域组策略配置和部署增强的审核策略,这样将降低管理

Windows Server 2008 R2 Windows 7

成本和开销,并极大地提高了安全审核的灵活性和效率。

以下部分介绍组策略的高级审核策略配置节点中可用的新事件和事件类别。

帐户登录事件

此类别中的事件帮助文档域尝试对帐户数据、域控制器或本地安全帐户管理器进行身份验证。与登录和注销事

(SAM)

件(它们跟踪访问特殊计算机的尝试)不同,此类别中的事件报告正在使用的帐户数据库。

设置 描述

凭据验证 审核由对用户帐户登录凭据的验证测试生成的事件。

Kerberos 服务票证操

其他帐户登录事件 审核由响应为用户帐户登录提交的凭据请求(非凭据验证或 Kerberos 票证)生成的事

审核 Kerberos 服务票证请求生成的事件。

件。

Kerberos 身份验证服

帐户管理事件

审核由 Kerberos 身份验证票证授予票证 (TGT) 请求生成的事件。

可以使用此类别中的设置监视对用户和计算机帐户和组的更改。

设置 描述

用户帐户管理 审核对用户帐户的更改。

计算机帐户管理 审核由对计算机帐户的更改(如当创建、更改或删除计算机帐户时)生成的事件。

安全组管理 审核由对安全组的更改生成的事件。

分发组管理 审核由对分发组的更改生成的事件。

备注

仅在域控制器上记录此子类别中的事件。

应用程序组管理 审核由对应用程序组的更改生成的事件。

其他帐户管理事件 审核由此类别中不涉及的其他用户帐户更改生成的事件。

详细跟踪的事件

可以使用详细跟踪的事件监视各个应用程序的活动,以了解计算机的使用方式以及该计算机上用户的活动。

设置 描述

进程创建 审核当创建或启动进程时生成的事件。还要审核创建该进程的应用程序或用户的名称。

进程终止 审核当进程结束时生成的事件。

DPAPI

活动 信息,如存储的密码和密钥信息。有关 DPAPI 的详细信息,请参阅 Windows 数据保护(可能为英

审核当对数据保护应用程序接口 (DPAPI) 进行加密或解密请求时生成的事件。DPAPI 用来保护机密

文网页)。

RPC

审核入站远程过程调用 (RPC) 连接。

DS

访问事件

DS Active Directory(R) (AD DS)

访问事件提供对访问和修改域服务中对象的尝试进行较低级别的审核跟踪。仅

在域控制器上记录这些事件。

设置 描述

目录服务访问 审核当访问 AD DS 对象时生成的事件。

仅记录具有匹配的 SACL AD DS 对象。

此子类别中的事件与以前版本的 Windows 中可用的目录服务访问事件类似。

目录服务更改 审核由对 AD DS 对象的更改生成的事件。当创建、删除、修改、移动或恢复对象时记录事

件。

目录服务复制 审核两个 AD DS 域控制器之间的复制。

详细的目录服务复审核由域控制器之间详细的 AD DS 复制生成的事件。

登录注销事件

/

使用登录和注销事件可以跟踪以交互方式登录计算机或通过网络登录计算机的尝试。这些事件对于跟踪用户活动以及标

识网络资源上的潜在攻击尤其有用。

设置 描述

登录 审核由用户帐户在计算机上的登录尝试生成的事件。

注销 审核由关闭登录会话生成的事件。这些事件发生在所访问的计算机上。对于交互登录,在用户帐

户登录的计算机上生成安全审核事件。

帐户锁定 审核由登录锁定帐户的失败尝试生成的事件。

IPSec 主模式 审核在主模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议 (AuthIP)

生成的事件。

IPSec 快速模

IPSec 扩展模

特殊登录 审核由特殊登录生成的事件。

其他登录/注销审核与登录/注销类别中不包含的登录和注销有关的其他事件。

事件

网络策略服务审核由 RADIUS (IAS) 和网络访问保护 (NAP) 用户访问请求生成的事件。这些请求可以是授

予、拒绝、放弃、隔离、锁定和解锁。

对象访问事件

审核在快速模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议

(AuthIP) 生成的事件。

审核在扩展模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议

(AuthIP) 生成的事件。

使用对象访问事件可以跟踪网络或计算机上访问特定对象或对象类型的尝试。若要审核文件、目录、注册表项或任何其

他对象,必须为成功和失败事件启用对象访问类别。例如,审核文件操作需要启用文件系统子类别,审核注册表访

问需要启用注册表子类别。

证明该策略对于外部审核员有效非常困难。没有简单的方法验证在所有继承的对象上是否设置了正确的

SACL

设置 描述

文件系统 审核用户访问文件系统对象的尝试。仅对于具有 SACL 的对象,并且仅当请求的访问类型(如写入、

读取或修改)以及进行请求的帐户与 SACL 中的设置匹配时才生成安全审核事件。

注册表 审核访问注册表对象的尝试。仅对于具有 SACL 的对象,并且仅当请求的访问类型(如读取、写入或

修改)以及进行请求的帐户与 SACL 中的设置匹配时才生成安全审核事件。

内核对象 审核访问系统内核(包括 Mutexes Semaphores)的尝试。只有具有匹配的 SACL 的内核对象

才生成安全审核事件。

备注

审核: 对全局系统对象的访问进行审核策略设置控制内核对象的默认 SACL

SAM

证书服务 审核 Active Directory 证书服务 (AD CS) 操作。

审核由访问安全帐户管理器 (SAM) 对象的尝试生成的事件。

生成的应审核通过使用 Windows 审核应用程序编程接口 (API) 生成事件的应用程序。设计为使用

用程序

句柄操作 审核当打开或关闭对象句柄时生成的事件。只有具有匹配的 SACL 的对象才生成安全审核事件。

文件共享 审核访问共享文件夹的尝试。但是,当创建、删除文件夹或更改其共享权限时不生成任何安全审核事

Windows 审核 API 的应用程序使用此子类别记录与其功能有关的审核事件。

件。

详细的文审核访问共享文件夹上文件和文件夹的尝试。详细的文件共享设置在每次访问文件或文件夹时记录

件共享 一个事件,而文件共享设置仅为客户端和文件共享之间建立的任何连接记录一个事件。详细的文件

共享审核事件包括有关用来授予或拒绝访问的权限或其他条件的详细信息的事件。

筛选平台审核由 Windows 筛选平台 (WFP) 丢弃的数据包。

数据包丢

筛选平台审核 WFP 允许或阻止的连接。

连接

其他对象审核由管理任务计划程序作业或 COM+ 对象生成的事件。

访问事件

策略更改事件

使用策略更改事件可以跟踪对本地系统或网络上重要安全策略的更改。由于策略通常是由管理员建立的,用于确保网络

资源的安全,因此任何更改或更改这些策略的尝试都可能是网络安全管理的重要方面。

设置 描述

审核策略更改 审核安全审核策略设置的更改。

身份验证策略更改 审核由对身份验证策略的更改生成的事件。

授权策略更改 审核由对授权策略的更改生成的事件。

MPSSVC 规则级别策

略更改

筛选平台策略更改 审核由对 WFP 的更改生成的事件。

其他策略更改事件 审核由策略更改类别中不审核的其他安全策略更改生成的事

审核由 Windows 防火墙使用的策略规则的更改生成的事件。

件。

权限使用事件

为用户或计算机授予对网络的权限以完成定义的任务。有了权限使用事件可以跟踪一台或多台计算机上某些权限的使用。

设置 描述

敏感权限使用 审核由使用敏感权限(用户权限)生成的事件,如充当操作系统的一部分、备份文件和目录、模

拟客户端计算机或生成安全审核。

非敏感权限使审核由使用非敏感权限(用户权限)生成的事件,如本地登录或使用远程桌面连接登录、更改系

统时间或从扩展坞删除计算机。

其他权限使用未使用。

事件

系统事件

使用系统事件可以跟踪对其他类别中不包含且有潜在安全隐患的计算机的高级更改。

设置 描述

安全状态更改 审核由计算机安全状态更改生成的事件。

安全系统扩展 审核与安全系统扩展或服务有关的事件。

系统完整性 审核违反安全子系统的完整性的事件。

IPSec 驱动程

其他系统事件 审核以下任何事件:

审核由 IPsec 筛选器驱动程序生成的事件。

启动和关闭 Windows 防火墙。

Windows 防火墙处理的安全策略。

加密密钥文件和迁移操作。