Windows 安全审核中的新增功能-windows安全审核

主要更改有哪些？

在 Windows Server® 2008 R2 和 Windows®7 中有许多审核增强功能，这些增强功能可提高安全审核日志中的详细级别并简化审核策略的部署和管理。这些增强功能包括：

全局对象访问审核。 在 Windows Server 2008 R2 和 Windows7 中，管理员可以为文件系统或注册表定义计算机范围系统访问控制列表 (SACL)。然后将指定的 SACL 自动应用于该类型的每个对象。这对于验证计算机上的所有关键文件、文件夹以及注册表设置是否受保护以及确定系统资源发生问题的时间，可能非常有用。
“访问原因”报告。 此访问控制项 (ACE) 列表提供的权限用于决定允许还是拒绝访问对象。这对于描述允许或阻止出现特殊可审核事件的权限（如组成员身份），可能非常有用。
高级审核策略设置。 可以使用这 53 个新设置代替“本地策略\审核策略”下的九个基本审核设置，以允许管理员更加明确地以他们要审核的活动类型为目标，去掉了可能使审核日志难于管理和解密的不必要的审核活动。

以下部分更加详细地介绍这些增强功能。

这些审核增强功能有何功能？

在 WindowsXP 中，管理员具有九种类别的安全审核事件，他们可以用于监视成功、失败或者成功和失败。这些事件范围非常广泛并且可以由各种类似操作触发，其中一些可以生成大量事件日志项。

在 WindowsVista(R) 和 Windows Server2008 中，可审核事件的数量从 9 增加到 53，这使得管理员在可审核的事件数量和类型方面更具选择性。但是，与九个基本的 WindowsXP 事件不同，这些新的审核事件未与组策略集成，并且只能使用 Auditpol.exe 命令行工具生成的登录脚本进行部署。

在 Windows Server 2008 R2 和 Windows7 中，所有审核功能都已经与组策略集成。这允许管理员在组策略管理控制台 (GPMC) 或本地安全策略管理单元中为域、站点或组织单位 (OU) 配置、部署和管理这些设置。Windows Server 2008 R2 和 Windows7 更便于 IT 专业人士跟踪网络上进行精确定义的重要活动的时间。

Windows Server 2008 R2 和 Windows7 中的审核策略增强功能允许管理员连接业务规则和审核策略。例如，在域和 OU 的基础上应用审核策略设置将允许管理员描述规则的遵从性，例如：

跟踪服务器上具有财务信息的所有组管理员活动。
跟踪已定义的员工组访问的所有文件。
确认在访问时将正确的 SACL 应用于每个文件、文件夹和注册表项。

谁会对该功能感兴趣？

Windows Server 2008 R2 和 Windows7 中的审核增强功能支持对负责实现、维护和监视组织的物理和信息资产的现行安全的 IT 专业人士的需要。

这些设置可以帮助管理员回答诸如以下内容的问题：

谁正在访问我们的资产？
他们正在访问哪些资产？
他们在何时何地访问这些资产？
如何获得访问权限？

安全意识和取证跟踪的期望是这些问题之后的重要动力。越来越多的组织审核员要求并评估该信息的质量。

是否有其他特殊注意事项？

很多特殊注意事项适用于与 Windows Server 2008 R2 和 Windows7 中与审核增强功能关联的各种任务：

创建审核策略。 若要创建高级 Windows 安全审核策略，必须在运行 Windows Server 2008 R2 或 Windows7 的计算机上使用 GPMC 或本地安全策略管理单元。（安装远程服务器管理工具之后，可以在运行 Windows7 的计算机上使用 GPMC。）
应用审核策略设置。 如果使用组策略应用高级审核策略设置和全局对象访问设置，则客户端计算机必须运行 Windows Server 2008 R2 或 Windows7。此外，只有运行 Windows Server 2008 R2 或 Windows7 的计算机才能提供“访问原因”报告数据。
开发审核策略模型。 若要计划高级安全审核设置和全局对象访问设置，必须使用以运行 Windows Server 2008 R2 的域控制器为目标的 GPMC。
分发审核策略。 开发包含高级安全审核设置的组策略对象 (GPO) 之后，可以使用运行任何 Windows 服务器操作系统的域控制器对其进行分发。但是，如果无法将运行 Windows7 的客户端计算机放在单独的 OU 中，则应该使用 Windows Management Instrumentation (WMI) 筛选以确保仅将高级策略设置应用于运行 Windows7 的客户端计算机。

备注
还可以将高级审核策略设置应用于运行 WindowsVista 的客户端计算机。但是，必须使用 Auditpol.exe 登录脚本单独为这些客户端计算机创建和应用审核策略。

重要事项
将“本地策略\审核策略”下的基本审核策略设置与高级审核策略配置下的高级设置一起使用可能会造成意外的结果。因此，不应该将两组审核策略设置组合使用。如果使用高级审核策略配置设置，则应该启用“本地策略\安全选项”下的“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”策略设置。这将通过强制忽略基本安全审核来防止类似设置之间的冲突。

重要事项

将“本地策略\审核策略”下的基本审核策略设置与高级审核策略配置下的高级设置一起使用可能会造成意外的结果。因此，不应该将两组审核策略设置组合使用。如果使用高级审核策略配置设置，则应该启用“本地策略\安全选项”下的“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”策略设置。这将通过强制忽略基本安全审核来防止类似设置之间的冲突。

此外，若要计划和部署安全事件审核策略，管理员需要解决很多操作和战略问题，包括：

为什么需要审核策略？
哪些活动和事件对于组织最重要？
可以从审核策略中忽略哪些类型的审核事件？
希望占用管理员多少时间和网络资源来生成、收集和存储事件以及分析数据？

哪些版本包含此功能？

可以处理组策略的所有版本的 Windows Server 2008 R2 和 Windows7 都可以配置为使用这些安全审核增强功能。无法加入域的 Windows Server 2008 R2 和 Windows7 版本无法访问这些功能。32 位和 64 位版本的 Windows7 之间的安全审核支持没有任何差别。

此功能提供了哪些新用途？

Windows Server 2008 R2 和 Windows7 提供了以下新功能：全局对象访问审核、“访问原因”设置以及高级审核策略设置。

全局对象访问审核

使用全局对象访问审核，管理员可以为文件系统或注册表定义每种对象类型的计算机 SACL。然后将指定的 SACL 自动应用于该类型的每个对象。

审核员将能够通过只查看全局对象访问审核策略设置的内容来证实系统中的每个资源受审核策略的保护。例如，策略设置“跟踪组管理员所进行的所有更改”将足以表明该策略有效。

资源 SACL 对于诊断方案也非常有用。例如，将全局对象访问审核策略设置为记录特定用户的所有活动以及在资源（文件系统、注册表）中启用“访问失败”审核策略将帮助管理员快速确定系统中的哪些对象拒绝用户访问。

备注
如果在计算机上配置了文件或文件夹 SACL 和全局对象访问审核策略（或者单个注册表设置 SACL 和全局对象访问审核策略），则有效的 SACL 源于将文件或文件夹 SACL 和全局对象访问审核策略组合。这意味着如果活动与文件或文件夹 SACL 或者全局对象访问审核策略匹配，则会生成一个审核事件。

“访问原因”设置

Windows 中有多个事件，无论操作成功还是失败都会进行审核。这些事件通常包括用户、对象和操作，但它们缺少允许或拒绝该操作的原因。通过记录原因、基于的特定权限以及某个人访问企业资源的原因，在 Windows Server 2008 R2 和 Windows7 中改进了取证分析和支持方案。

高级审核策略设置

在 Windows Server 2008 R2 和 Windows7 中，可以使用域组策略配置和部署增强的审核策略，这样将降低管理成本和开销，并极大地提高了安全审核的灵活性和效率。

以下部分介绍组策略的高级审核策略配置节点中可用的新事件和事件类别。

帐户登录事件

此类别中的事件帮助文档域尝试对帐户数据、域控制器或本地安全帐户管理器 (SAM) 进行身份验证。与登录和注销事件（它们跟踪访问特殊计算机的尝试）不同，此类别中的事件报告正在使用的帐户数据库。

设置	描述
凭据验证	审核由对用户帐户登录凭据的验证测试生成的事件。
Kerberos服务票证操作	审核 Kerberos 服务票证请求生成的事件。
其他帐户登录事件	审核由响应为用户帐户登录提交的凭据请求（非凭据验证或 Kerberos 票证）生成的事件。
Kerberos 身份验证服务	审核由 Kerberos 身份验证票证授予票证 (TGT) 请求生成的事件。

帐户管理事件

可以使用此类别中的设置监视对用户和计算机帐户和组的更改。

设置

描述

用户帐户管理

审核对用户帐户的更改。

计算机帐户管理

审核由对计算机帐户的更改（如当创建、更改或删除计算机帐户时）生成的事件。

安全组管理

审核由对安全组的更改生成的事件。

分发组管理

审核由对分发组的更改生成的事件。

备注
仅在域控制器上记录此子类别中的事件。

应用程序组管理

审核由对应用程序组的更改生成的事件。

其他帐户管理事件

审核由此类别中不涉及的其他用户帐户更改生成的事件。

详细跟踪的事件

可以使用详细跟踪的事件监视各个应用程序的活动，以了解计算机的使用方式以及该计算机上用户的活动。

设置	描述
进程创建	审核当创建或启动进程时生成的事件。还要审核创建该进程的应用程序或用户的名称。
进程终止	审核当进程结束时生成的事件。
DPAPI 活动	审核当对数据保护应用程序接口 (DPAPI) 进行加密或解密请求时生成的事件。DPAPI 用来保护机密信息，如存储的密码和密钥信息。有关 DPAPI 的详细信息，请参阅 Windows 数据保护（可能为英文网页）。
RPC 事件	审核入站远程过程调用 (RPC) 连接。

DS 访问事件

DS 访问事件提供对访问和修改 Active Directory(R) 域服务 (ADDS) 中对象的尝试进行较低级别的审核跟踪。仅在域控制器上记录这些事件。

设置	描述
目录服务访问	审核当访问 AD DS 对象时生成的事件。仅记录具有匹配的 SACL 的 AD DS 对象。此子类别中的事件与以前版本的 Windows 中可用的目录服务访问事件类似。
目录服务更改	审核由对 AD DS 对象的更改生成的事件。当创建、删除、修改、移动或恢复对象时记录事件。
目录服务复制	审核两个 AD DS 域控制器之间的复制。
详细的目录服务复制	审核由域控制器之间详细的 AD DS 复制生成的事件。

登录/注销事件

使用登录和注销事件可以跟踪以交互方式登录计算机或通过网络登录计算机的尝试。这些事件对于跟踪用户活动以及标识网络资源上的潜在攻击尤其有用。

设置	描述
登录	审核由用户帐户在计算机上的登录尝试生成的事件。
注销	审核由关闭登录会话生成的事件。这些事件发生在所访问的计算机上。对于交互登录，在用户帐户登录的计算机上生成安全审核事件。
帐户锁定	审核由登录锁定帐户的失败尝试生成的事件。
IPSec 主模式	审核在主模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议 (AuthIP) 生成的事件。
IPSec 快速模式	审核在快速模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议 (AuthIP) 生成的事件。
IPSec 扩展模式	审核在扩展模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议 (AuthIP) 生成的事件。
特殊登录	审核由特殊登录生成的事件。
其他登录/注销事件	审核与“登录/注销”类别中不包含的登录和注销有关的其他事件。
网络策略服务器	审核由 RADIUS (IAS) 和网络访问保护 (NAP) 用户访问请求生成的事件。这些请求可以是授予、拒绝、放弃、隔离、锁定和解锁。

对象访问事件

使用对象访问事件可以跟踪网络或计算机上访问特定对象或对象类型的尝试。若要审核文件、目录、注册表项或任何其他对象，必须为成功和失败事件启用“对象访问”类别。例如，审核文件操作需要启用“文件系统”子类别，审核注册表访问需要启用“注册表”子类别。

证明该策略对于外部审核员有效非常困难。没有简单的方法验证在所有继承的对象上是否设置了正确的 SACL。

设置

描述

文件系统

审核用户访问文件系统对象的尝试。仅对于具有 SACL 的对象，并且仅当请求的访问类型（如写入、读取或修改）以及进行请求的帐户与 SACL 中的设置匹配时才生成安全审核事件。

注册表

审核访问注册表对象的尝试。仅对于具有 SACL 的对象，并且仅当请求的访问类型（如读取、写入或修改）以及进行请求的帐户与 SACL 中的设置匹配时才生成安全审核事件。

内核对象

审核访问系统内核（包括 Mutexes 和 Semaphores）的尝试。只有具有匹配的 SACL 的内核对象才生成安全审核事件。

备注
审核: 对全局系统对象的访问进行审核策略设置控制内核对象的默认 SACL。

SAM

审核由访问安全帐户管理器 (SAM) 对象的尝试生成的事件。

证书服务

审核 Active Directory 证书服务 (AD CS) 操作。

生成的应用程序

审核通过使用 Windows 审核应用程序编程接口 (API) 生成事件的应用程序。设计为使用 Windows 审核 API 的应用程序使用此子类别记录与其功能有关的审核事件。

句柄操作

审核当打开或关闭对象句柄时生成的事件。只有具有匹配的 SACL 的对象才生成安全审核事件。

文件共享

审核访问共享文件夹的尝试。但是，当创建、删除文件夹或更改其共享权限时不生成任何安全审核事件。

详细的文件共享

审核访问共享文件夹上文件和文件夹的尝试。“详细的文件共享”设置在每次访问文件或文件夹时记录一个事件，而“文件共享”设置仅为客户端和文件共享之间建立的任何连接记录一个事件。“详细的文件共享”审核事件包括有关用来授予或拒绝访问的权限或其他条件的详细信息的事件。

筛选平台数据包丢弃

审核由 Windows 筛选平台 (WFP) 丢弃的数据包。

筛选平台连接

审核 WFP 允许或阻止的连接。

其他对象访问事件

审核由管理任务计划程序作业或 COM+ 对象生成的事件。

策略更改事件

使用策略更改事件可以跟踪对本地系统或网络上重要安全策略的更改。由于策略通常是由管理员建立的，用于确保网络资源的安全，因此任何更改或更改这些策略的尝试都可能是网络安全管理的重要方面。

设置	描述
审核策略更改	审核安全审核策略设置的更改。
身份验证策略更改	审核由对身份验证策略的更改生成的事件。
授权策略更改	审核由对授权策略的更改生成的事件。
MPSSVC 规则级别策略更改	审核由 Windows 防火墙使用的策略规则的更改生成的事件。
筛选平台策略更改	审核由对 WFP 的更改生成的事件。
其他策略更改事件	审核由策略更改类别中不审核的其他安全策略更改生成的事件。

权限使用事件

为用户或计算机授予对网络的权限以完成定义的任务。有了权限使用事件可以跟踪一台或多台计算机上某些权限的使用。

设置	描述
敏感权限使用	审核由使用敏感权限（用户权限）生成的事件，如充当操作系统的一部分、备份文件和目录、模拟客户端计算机或生成安全审核。
非敏感权限使用	审核由使用非敏感权限（用户权限）生成的事件，如本地登录或使用远程桌面连接登录、更改系统时间或从扩展坞删除计算机。
其他权限使用事件	未使用。

系统事件

使用系统事件可以跟踪对其他类别中不包含且有潜在安全隐患的计算机的高级更改。

设置	描述
安全状态更改	审核由计算机安全状态更改生成的事件。
安全系统扩展	审核与安全系统扩展或服务有关的事件。
系统完整性	审核违反安全子系统的完整性的事件。
IPSec 驱动程序	审核由 IPsec 筛选器驱动程序生成的事件。
其他系统事件	审核以下任何事件：启动和关闭 Windows 防火墙。由 Windows 防火墙处理的安全策略。加密密钥文件和迁移操作。

原文地址

查看更多相关文章