1、WindowsServer2008R2和Windows7中的審核增強功能支持對負責(zé)實現(xiàn)、維護和監(jiān)視組織的物理和信息資產(chǎn)的現(xiàn)行安全的IT專業(yè)人士的需要。這些設(shè)置可以幫助管理員回答諸如以下內(nèi)容的問題：誰正在訪問我們的資產(chǎn)？他們正在訪問哪些資產(chǎn)？他們在何時何地訪問這些資產(chǎn)？如何獲得訪問權(quán)限？安全意識和取證跟蹤的期望是這些問題之后的重要動力。越來越多的組織審核員要求并評估該信息的質(zhì)量。是否有其他特殊注意事項？很多特殊注意事項適用于與WindowsServer2008R2和Windows7中與審核增強功能關(guān)聯(lián)的各種任務(wù)：創(chuàng)建審核策略。若要創(chuàng)建高級Windows安全審核策略，必須在運行WindowsSer

2、ver2008R2或Windows7的計算機上使用GPMC或本地安全策略管理單元。(安裝遠程服務(wù)器管理工具之后，可以在運行Windows7的計算機上使用GPMC。)應(yīng)用審核策略設(shè)置。如果使用組策略應(yīng)用高級審核策略設(shè)置和全局對象訪問設(shè)置，則客戶端計算機必須運行WindowsServer2008R2或Windows7。此外，只有運行WindowsServer2008R2或Windows7的計算機才能提供“訪問原因”報告數(shù)據(jù)。開發(fā)審核策略模型。若要計劃高級安全審核設(shè)置和全局對象訪問設(shè)置，必須使用以運行WindowsServer2008R2的域控制器為目標(biāo)的GPMC。分發(fā)審核策略。開發(fā)包含高級安全審核

3、設(shè)置的組策略對象(GPO)之后，可以使用運行任何Windows服務(wù)器操作系統(tǒng)的域控制器對其進行分發(fā)。但是，如果無法將運行Windows7的客戶端計算機放在單獨的OU中，則應(yīng)該使用WindowsManagementInstrumentation(WMI)篩選以確保僅將高級策略設(shè)置應(yīng)用于運行Windows7的客戶端計算機。S備注還可以將高級審核策略設(shè)置應(yīng)用于運行WindowsVista的客戶端計算機。但是，必須使用Auditpol.exe登錄腳本單獨為這些客戶端計算機創(chuàng)建和應(yīng)用審核策略。G重要事項將本地策略審核策略下的基本審核策略設(shè)置與高級審核策略配置下的高級設(shè)置一起使用可能會造成意外的結(jié)果。因此

4、，不應(yīng)該將兩組審核策略設(shè)置組合使用。如果使用高級審核策略配置設(shè)置，則應(yīng)該啟用本地策略安全選項下的審核：強制審核策略子類別設(shè)置（WindowsVista或更高版本）替代審核策略類別設(shè)置策略設(shè)置。這將通過強制忽略基本安全審核來防止類似設(shè)置之間的沖突。此外，若要計劃和部署安全事件審核策略，管理員需要解決很多操作和戰(zhàn)略問題，包括：為什么需要審核策略？哪些活動和事件對于組織最重要？可以從審核策略中忽略哪些類型的審核事件？希望占用管理員多少時間和網(wǎng)絡(luò)資源來生成、收集和存儲事件以及分析數(shù)據(jù)？哪些版本包含此功能？可以處理組策略的所有版本的WindowsServer2008R2和Windows7都可以配置為使用

5、這些安全審核增強功能無法加入域的WindowsServer2008R2和Windows7版本無法訪問這些功能。32位和64位版本的Windows7之間的安全審核支持沒有任何差別。此功能提供了哪些新用途？WindowsServer2008R2和Windows7提供了以下新功能：全局對象訪問審核、“訪問原因”設(shè)置以及高級審核策略設(shè)置。全局對象訪問審核使用全局對象訪問審核，管理員可以為文件系統(tǒng)或注冊表定義每種對象類型的計算機SACL。然后將指定的SACL自動應(yīng)用于該類型的每個對象。審核員將能夠通過只查看全局對象訪問審核策略設(shè)置的內(nèi)容來證實系統(tǒng)中的每個資源受審核策略的保護。例如，策略設(shè)置“跟蹤組管理員

6、所進行的所有更改”將足以表明該策略有效。資源SACL對于診斷方案也非常有用。例如，將全局對象訪問審核策略設(shè)置為記錄特定用戶的所有活動以及在資源（文件系統(tǒng)、注冊表）中啟用“訪問失敗”審核策略將幫助管理員快速確定系統(tǒng)中的哪些對象拒絕用戶訪問。:備注如果在計算機上配置了文件或文件夾SACL和全局對象訪問審核策略（或者單個注冊表設(shè)置SACL和全局對象訪問審核策略），則有效的SACL源于將文件或文件夾SACL和全局對象訪問審核策略組合。這意味著如果活動與文件或文件夾SACL或者全局對象訪問審核策略匹配，則會生成一個審核事件。訪問原因設(shè)置Windows中有多個事件，無論操作成功還是失敗都會進行審核。這些事

7、件通常包括用戶、對象和操作，但它們?nèi)鄙僭试S或拒絕該操作的原因。通過記錄原因、基于的特定權(quán)限以及某個人訪問企業(yè)資源的原因，在WindowsServer2008R2和Windows7中改進了取證分析和支持方案。高級審核策略設(shè)置在WindowsServer2008R2和Windows7中，可以使用域組策略配置和部署增強的審核策略，這樣將降低管理成本和開銷，并極大地提高了安全審核的靈活性和效率。以下部分介紹組策略的高級審核策略配置節(jié)點中可用的新事件和事件類別。帳戶登錄事件此類別中的事件幫助文檔域嘗試對帳戶數(shù)據(jù)、域控制器或本地安全帳戶管理器（SAM）進行身份驗證。與登錄和注銷事件（它們跟蹤訪問特殊計算機

8、的嘗試）不同，此類別中的事件報告正在使用的帳戶數(shù)據(jù)庫。設(shè)置描述憑據(jù)驗證審核由對用戶帳戶登錄憑據(jù)的驗證測試生成的事件。Kerberos服務(wù)票證操作審核Kerberos服務(wù)票證請求生成的事件。其他帳戶登錄事件審核由響應(yīng)為用戶帳戶登錄提交的憑據(jù)請求（非憑據(jù)驗證或Kerberos票證）生成的事件。Kerberos身份驗證服務(wù)審核由Kerberos身份驗證票證授予票證（TGT）請求生成的事件。帳戶管理事件可以使用此類別中的設(shè)置監(jiān)視對用戶和計算機帳戶和組的更改。設(shè)置描述用戶帳戶管理審核對用戶帳戶的更改。計算機帳戶管理審核由對計算機帳戶的更改（如當(dāng)創(chuàng)建、更改或刪除計算機帳戶時）生成的事件。安全組管理審核由對

9、安全組的更改生成的事件。分發(fā)組管理審核由對分發(fā)組的更改生成的事件。備注僅在域控制器上記錄此子類別中的事件。應(yīng)用程序組管理審核由對應(yīng)用程序組的更改生成的事件。其他帳戶管理事件審核由此類別中不涉及的其他用戶帳戶更改生成的事件。詳細跟蹤的事件可以使用詳細跟蹤的事件監(jiān)視各個應(yīng)用程序的活動，以了解計算機的使用方式以及該計算機上用戶的活動。設(shè)置描述進程創(chuàng)建審核當(dāng)創(chuàng)建或啟動進程時生成的事件。還要審核創(chuàng)建該進程的應(yīng)用程序或用戶的名稱。進程終止審核當(dāng)進程結(jié)束時生成的事件。DPAPI活動審核當(dāng)對數(shù)據(jù)保護應(yīng)用程序接口（DPAPI）進行加密或解密請求時生成的事件oDPAPI用來保護機密信息，如存儲的密碼和密鑰信息。有

10、關(guān)DPAPI的詳細信息，請參閱Windows數(shù)據(jù)保護（可能為英文網(wǎng)頁）。RPC事件審核入站遠程過程調(diào)用（RPC）連接。DS訪問事件DS訪問事件提供對訪問和修改ActiveDirectory（R）域服務(wù)（ADDS）中對象的嘗試進行較低級別的審核跟蹤。僅在域控制器上記錄這些事件。設(shè)置描述目錄服務(wù)訪問審核當(dāng)訪問ADDS對象時生成的事件。僅記錄具有匹配的SACL的ADDS對象。此子類別中的事件與以前版本的Windows中可用的目錄服務(wù)訪問事件類似。目錄服務(wù)更改審核由對ADDS對象的更改生成的事件。當(dāng)創(chuàng)建、刪除、修改、移動或恢復(fù)對象時記錄事件。目錄服務(wù)復(fù)制審核兩個ADDS域控制器之間的復(fù)制。詳細的目錄服

11、務(wù)復(fù)制審核由域控制器之間詳細的ADDS復(fù)制生成的事件。登錄/注銷事件使用登錄和注銷事件可以跟蹤以交互方式登錄計算機或通過網(wǎng)絡(luò)登錄計算機的嘗試。這些事件對于跟蹤用戶活動以及標(biāo)識網(wǎng)絡(luò)資源上的潛在攻擊尤其有用。設(shè)置描述登錄審核由用戶帳戶在計算機上的登錄嘗試生成的事件。注銷審核由關(guān)閉登錄會話生成的事件。這些事件發(fā)生在所訪問的計算機上。對于交互登錄，在用戶帳戶登錄的計算機上生成安全審核事件。帳戶鎖定審核由登錄鎖定帳戶的失敗嘗試生成的事件。IPSec主模式審核在主模式協(xié)商期間由Internet密鑰交換協(xié)議(IKE)和已驗證Internet協(xié)議(AuthIP)生成的事件。IPSec快速模式審核在快速模式協(xié)商

12、期間由Internet密鑰交換協(xié)議(IKE)和已驗證Internet協(xié)議(AuthIP)生成的事件。IPSec擴展模式審核在擴展模式協(xié)商期間由Internet密鑰交換協(xié)議(IKE)和已驗證Internet協(xié)議(AuthIP)生成的事件。特殊登錄審核由特殊登錄生成的事件。其他登錄/注銷事件審核與登錄/注銷類別中不包含的登錄和注銷有關(guān)的其他事件。網(wǎng)絡(luò)策略服務(wù)器審核由RADIUS(IAS)和網(wǎng)絡(luò)訪問保護(NAP)用戶訪問請求生成的事件。這些請求可以是授予、拒絕、放棄、隔離、鎖定和解鎖。對象訪問事件使用對象訪問事件可以跟蹤網(wǎng)絡(luò)或計算機上訪問特定對象或?qū)ο箢愋偷膰L試。若要審核文件、目錄、注冊表項或任何其

13、他對象，必須為成功和失敗事件啟用“對象訪問”類別。例如，審核文件操作需要啟用“文件系統(tǒng)”子類別，審核注冊表訪問需要啟用“注冊表”子類別。證明該策略對于外部審核員有效非常困難。沒有簡單的方法驗證在所有繼承的對象上是否設(shè)置了正確的SACL。設(shè)置描述文件系統(tǒng)審核用戶訪問文件系統(tǒng)對象的嘗試。僅對于具有SACL的對象，并且僅當(dāng)請求的訪問類型(如寫入、讀取或修改)以及進行請求的帳戶與SACL中的設(shè)置匹配時才生成安全審核事件。注冊表審核訪問注冊表對象的嘗試。僅對于具有SACL的對象，并且僅當(dāng)請求的訪問類型(如讀取、寫入或修改)以及進行請求的帳戶與SACL中的設(shè)置匹配時才生成安全審核事件。內(nèi)核對象審核訪問系統(tǒng)

14、內(nèi)核(包括Mutexes和Semaphores)的嘗試。只有具有匹配的SACL的內(nèi)核對象才生成安全審核事件。備注審核：對全局系統(tǒng)對象的訪問進行審核策略設(shè)置控制內(nèi)核對象的默認(rèn)SACL。SAM審核由訪問安全帳戶管理器(SAM)對象的嘗試生成的事件。證書服務(wù)審核ActiveDirectory證書服務(wù)(ADCS)操作。生成的應(yīng)用程序?qū)徍送ㄟ^使用Windows審核應(yīng)用程序編程接口（API）生成事件的應(yīng)用程序。設(shè)計為使用Windows審核API的應(yīng)用程序使用此子類別記錄與其功能有關(guān)的審核事件。句柄操作審核當(dāng)打開或關(guān)閉對象句柄時生成的事件。只有具有匹配的SACL的對象才生成安全審核事件。文件共享審核訪問共享

15、文件夾的嘗試。但是，當(dāng)創(chuàng)建、刪除文件夾或更改其共享權(quán)限時不生成任何安全審核事件。詳細的文件共享審核訪問共享文件夾上文件和文件夾的嘗試。詳細的文件共享設(shè)置在每次訪問文件或文件夾時記錄一個事件，而文件共享設(shè)置僅為客戶端和文件共享之間建立的任何連接記錄一個事件。詳細的文件共享審核事件包括有關(guān)用來授予或拒絕訪問的權(quán)限或其他條件的詳細信息的事件。篩選平臺數(shù)據(jù)包丟棄審核由Windows篩選平臺（WFP）丟棄的數(shù)據(jù)包。篩選平臺連接審核WFP允許或阻止的連接。其他對象訪問事件審核由管理任務(wù)計劃程序作業(yè)或COM+對象生成的事件。策略更改事件使用策略更改事件可以跟蹤對本地系統(tǒng)或網(wǎng)絡(luò)上重要安全策略的更改。由于策略通常是由管理員建立的，用于確保網(wǎng)絡(luò)資源的安全，因此任何更改或更改這些策略的嘗試都可能是網(wǎng)絡(luò)安全管理的重要方面。設(shè)置描述審核策略更改審核安全審核策略設(shè)置的更改。身份驗證策略更改審核由對身份驗證策略的更改生成的事件。授權(quán)策略更改審核由對授權(quán)策略的更改生成的事件。MPSSVC規(guī)則級別策略更改審核由Windows防火墻使用的策略規(guī)則的更改生成的事件。篩選平臺策略更改審核由對WFP的更改生成的事件。其他策略更改事件審核由策略更改類別中不審核的其他安全策略更改