51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Windows本地组策略设置和审计策略概述

作者:Ed Tittel
系统 Windows
Windows 7和Windows Server 2008的本地组策略设置和审计策略允许方案提供商能更多地控制客户环境下的事件和设置权限。本文对成功和失败事件的审核设置进行了概述,介绍如何合理的利用这些策略设置来进行账户管理和详细追踪。

Windows 7和Windows Server 2008的本地组策略设置和审计策略允许方案提供商能更多地控制客户环境下的事件和设置权限,所以重要的是了解如何配置并合理使用这些设置和策略。

一些Windows 7版本(专业版、旗舰版和企业版)和Windows Server 2008的所有版本都支持访问53种不同的成功和失败事件审核设置。 本系列文章将深入讨论这些有用的设置,并解释在何种情况下需要你去改变这些设置。

图1显示系统审计策略的基本界面。在Windows 7或Windows Server 2008开始菜单搜索栏里输入“gpedit.msc”,来打开本地组策略编辑器,显示可用的审计选项。

Windows 7,审计,组策略,设置
图1:从早期Windows版本的9个类别记录增加到10个,新增了全局项目访问审计(其它类别的名称也略有变化)。

如果使用Windows 7  Basic、Start、Home或者Home Premium版本,你将无法展开这些类别。因为这些类别下的审计控件在这些版本的操作系统中无法使用。但是,能使用所有类别的好处是能审计所有的子分类设置选项,本文的余下部分将讨论这些子类别设置选项,所以即使你使用这些系统,阅读这些知识对你也非常有益。

账户登录

Windows 7,审计,组策略,设置
图2:该图显示一个子类别的右击菜单中的可用属性窗口,该子类别是账户登录审计控件中四个子类别中的一个。

你需要选中成功或失败复选框来审计任一实际发生的事件。选中“配置”对话框,如其显示的那样,你能做的就是选中一个或两个复选框。欲了解更多关于在域环境中创建、实施高级审计策略配置的信息,请访问Technet article。 更多审核策略设置信息,请访问Technet Security Audit Policy Reference。

账户访问子类别设置

  • 审计凭证验证:当一个用户帐号登录申请需要提交凭证时,决定操作系统是否生成审计事件。通常情况下,域控制器会用到该设置,因为此项设置仅仅记录发生在其它Windows机器上的本地账户登录。
  • 审计 Kerberos身份验证:决定操作系统是否为Kerberos身份验证TGT(票证授予票证)请求生成审计事件。该请求主要发生在客户机上。
  • 审计Kerberos服务票据业务:决定操作系统是否为Kerberos服务票据请求生成审计事件(使用TGT获取权限来访问Kerberos控件下的其它资源)。该请求主要也发生在客户机上。
  • 审计其它账户登录事件:跟踪各种其它事件,这些事件有关之前提及项目以外的用户登录凭证请求。这些项目包括远程桌面登录和断开、锁定或解锁定一个工作站、进入或退出一个安全屏幕保护程序或检测一个重复攻击的Kerberos(即反复提交相同的信息)。无线网络访问也属于这个子类别。

组策略设置:账户管理

Windows 7,审计,组策略,设置
图3:账户管理审计设置可以用来审计用户及计算机账户和组的变化

以下是账户管理的子类别设置:

  • 审计应用组管理:当执行应用组管理任务时,决定操作系统是否生成审计事件。这类任务包括创建、修改、删除一个应用组和添加或删除一个组成员。
  • 审计计算机账户管理:当创建、修改或删除一个计算机账户时,决定操作系统是否生成审计事件。该设置用在域环境的计算机上监控账户相关的变化。
  • 审计分配组管理:当执行分配组管理任务时,决定操作系统是否生成审计事件。该设置只在运行Windows Server 2008的计算机上有效。
  • 审计其他账户管理事件:当访问一个账户密码哈希(主要发生在活动目录迁移工具移动密码数据时)或当密码检测策略API被调用时(可能是恶意的),决定操作系统是否生成审计事件。
  • 审计安全组管理:当执行各种组管理任务,包括创建、改变或删除一个安全组、添加或删除一个安全组成员或者改变一个安全组的相关类型时,决定操作系统是否生成审计事件。(安全组常用于管理访问控制权限和分布列表)
  • 审计用户账号管理:当各类用户账户管理任务发生时,决定操作系统是否生成审核事件。其中包括创建、改变、删除、重命名、禁用或启用和锁定或解除锁定用户账户。其他项目包括设置和修改用户账户密码、为用户账户添加SID历史、设置目录服务修复模式密码(仅管理员)、修改管理员组中账户权限和备份或恢复凭证管理器凭证。

详细追踪

Windows 7,审计,组策略,设置
图4:详细追踪子类别,它极少使用,能审计低级别的系统活动,可能生成大量的事件。

以下是详细追踪的子类别:

  • 审计DPAPI活动:决定操作系统是否生成审核事件,当加密或解密指令调用数据保护应用接口(DPAPI)时。DPAPI用于保护敏感数据,如存储的密码和密钥。
  • 审计进程创建:当进程创建,并且有创建它的用户或程序名时,决定操作系统是否产生审计事件。该类别通常用于对计算机行为和用户活动做级别的分析。
  • 审计进程终止:当进程终止时(这里试图在终止失败时追踪失败报告) 决定操作系统是否生成审计事件。该类别通常用于计算机行为和用户活动的低级别分析。
  • 审计RPC事件:当入站远程程序指令连接启动时决定操作系统是否生成审计事件。该子类别极少使用。

活动目录域服务访问

Windows 7,审计,组策略,设置
图5:这些设置审计与活动目录域服务对象的访问和修改有关的各种活动,而且这些设置只会在域控制器上生成审计事件。在这里,我们将不详细讨论该类别,因为该类别的内容仅与Windows 2008 R2 Server有关。

原文:http://www.searchsv.com.cn/showcontent_44934.htm

【编辑推荐】

  1. 专题:Windows组策略 系统管理员手中的管理利器
  2. 五个必须立刻实施的Windows组策略选项
  3. 组策略规划和部署指南
责任编辑:yangsai 来源: TT中国
组策略审计策略
相关推荐
Windows组策略本地设置审计
当提到FTP服务器的时候,可能大家都会想到Servu、vsFTP等软件,其实微软内置在IIS里的FTP服务已经够用。在本文中将向大家介绍如何在微软内置IIS上完成FTP服务器的搭建。

2011-02-14 14:41:48

本地组策略
Windows组策略概述及由来
组策略这个词相信接触过Windows的用户或多或少都知道一些,但深入了解的恐怕不多,这里就组策略进行一个介绍,希望能给大家带来组策略的较完整的印象。

2010-04-08 15:40:16

Windows组策略
Windows 10如何重置本地组策略设置
用于管理Windows10安全选项的安全策略与组策略使用了不同的管理控制台——secpol.msc(本地安全策略),该安全设置管理单元对组策略进行了扩展,可方便个人用户或域管理员手动配置和定义计算机安全策略。

2016-10-09 09:28:22

Windows 10组策略配置
Windows 7文件访问的安全审计策略
在审计文件访问策略中,可以根据需要选择多种安全审计策略,即可以告诉操作系统,在发生哪些操作时将访问的信息记入到安全日志中,包括访问人员、访问者的电脑、访问时间、进行了什么操作等等。在本文中将向大家介绍在Windows7文件访问的安全审计策略。

2011-02-15 09:49:31

Windows 7文件访问
组策略排错知识概述
本文介绍了组策略执行失败时启动组策略日志并实施排错的解决方案,所需要的资源有WindowsServer2003或WindowsXP的组策略管理控制台;用于启动组策略日志的gpolog.adm工具。

2011-07-27 18:10:28

组策略
Windows Vista中的本地组策略如何禁用?
本文介绍禁用WindowsVista中的本地组策略的方法步骤。

2011-07-21 17:31:51

本地组策略Windows Vis
组策略管理控制台概述
本文介绍了有关组策略管理控制台的一些内容,包括其作用和功能等方面。

2011-07-27 13:59:04

组策略之软件限制策略设置
本文介绍如何设置组策略中的软件限制策略,来躲过一些暗藏病毒的恶意网页陷阱。

2011-07-20 16:07:55

组策略
巧用组策略设置打开保存窗口
在操作电脑中,“打开”和“另保存”是两个接触比较多的窗口。但是在这两个窗口左侧显示的默认文件夹却是“桌面”、“我的文档”、“我的电脑”、“网上邻居”这几个使用并不多的地方。其实我们可以利用组策略将它们换成自己经常使用到的一些文件夹。

2011-08-04 13:32:11

组策略
如何在Vista中设置多个本地组策略对象?
本文介绍如何在WindowsVista下为不同的群组或用户设置多个本地组策略对象。

2011-07-20 16:42:46

本地组策略
安全设置Windows组策略有效阻止黑客
在以前的文章中,我们已经向大家介绍了Windows组策略保障共享目录安全的内容今天我们继续向大家介绍安全设置的内容。

2011-03-21 14:22:08

组策略安全设置如何应用?
本文将为大家提供了一些工具、命令以及技巧来确保组策略对象安全设置的正确使用。

2011-07-21 17:08:41

组策略
组策略如何进行设置
本文介绍了一些组策略的相关的设置。如禁止运行CMD方法、限制账户登陆次数、阻止组件的自动安装,可以阻挡流氓软件的自动安装、密码设置等内容。

2011-07-28 14:07:30

Windows 2000组策略详解
本文介绍了组策略的概念,其中详细介绍了组策略对象GPO,包括GPO的多样性和继承、GPO的执行和过滤、GPO的内部构成等内容。

2011-07-21 13:04:01

组策略GPOAD
Windows安全保障:10个关键的Windows组策略设置
本文介绍top10Windows组策略设置。只要保证这10个Windows组策略设置正确,你的Windows环境会在很长一段时间内保持更加安全的状态。

2013-11-28 09:53:37

如何在组策略设置“用户权利指派”策略
本文介绍了如何利用组策略设置“用户权利指派”策略,而通过设置“用户权利指派”策略,可以帮助解决用户共享计算机无法共享等诸多网络问题。

2011-08-01 18:16:43

组策略用户权利指派
Windows 2008之组策略设置可移动存储访问
在WindowsServer2008中,管理员可以应用组策略来控制用户是否可以对使用可移动介质的任何设备进行读取或写入。

2011-07-26 11:24:37

组策略USB可移动存储
Windows XP组策略应用技巧一
本文介绍了WindowsXP组策略应用技巧,其中包括WindowsXP组策略的基本知识,通过WindowsXP组策略如何让系统更个性化等内容。

2011-07-20 10:43:39

Windows XP组
Windows XP技巧之组策略技巧
本文介绍了windows系统中组策略的技巧,其中包括关机清除打开文件记录、强大的WindowsXP的“组策略”、更好掌握强大的“组策略”等内容。

2011-07-25 15:56:45

组策略
利用Windows组策略禁用U盘
本文介绍了用Windows组策略功能封杀U盘的方法。

2011-07-21 11:12:56

Windows组策略U盘
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服