Windows 7和Windows Server 2008的本地组策略设置和审计策略允许方案提供商能更多地控制客户环境下的事件和设置权限,所以重要的是了解如何配置并合理使用这些设置和策略。
一些Windows 7版本(专业版、旗舰版和企业版)和Windows Server 2008的所有版本都支持访问53种不同的成功和失败事件审核设置。 本系列文章将深入讨论这些有用的设置,并解释在何种情况下需要你去改变这些设置。
图1显示系统审计策略的基本界面。在Windows 7或Windows Server 2008开始菜单搜索栏里输入“gpedit.msc”,来打开本地组策略编辑器,显示可用的审计选项。
图1:从早期Windows版本的9个类别记录增加到10个,新增了全局项目访问审计(其它类别的名称也略有变化)。
如果使用Windows 7 Basic、Start、Home或者Home Premium版本,你将无法展开这些类别。因为这些类别下的审计控件在这些版本的操作系统中无法使用。但是,能使用所有类别的好处是能审计所有的子分类设置选项,本文的余下部分将讨论这些子类别设置选项,所以即使你使用这些系统,阅读这些知识对你也非常有益。
账户登录
图2:该图显示一个子类别的右击菜单中的可用属性窗口,该子类别是账户登录审计控件中四个子类别中的一个。
你需要选中成功或失败复选框来审计任一实际发生的事件。选中“配置”对话框,如其显示的那样,你能做的就是选中一个或两个复选框。欲了解更多关于在域环境中创建、实施高级审计策略配置的信息,请访问Technet article。 更多审核策略设置信息,请访问Technet Security Audit Policy Reference。
账户访问子类别设置
- 审计凭证验证:当一个用户帐号登录申请需要提交凭证时,决定操作系统是否生成审计事件。通常情况下,域控制器会用到该设置,因为此项设置仅仅记录发生在其它Windows机器上的本地账户登录。
- 审计 Kerberos身份验证:决定操作系统是否为Kerberos身份验证TGT(票证授予票证)请求生成审计事件。该请求主要发生在客户机上。
- 审计Kerberos服务票据业务:决定操作系统是否为Kerberos服务票据请求生成审计事件(使用TGT获取权限来访问Kerberos控件下的其它资源)。该请求主要也发生在客户机上。
- 审计其它账户登录事件:跟踪各种其它事件,这些事件有关之前提及项目以外的用户登录凭证请求。这些项目包括远程桌面登录和断开、锁定或解锁定一个工作站、进入或退出一个安全屏幕保护程序或检测一个重复攻击的Kerberos(即反复提交相同的信息)。无线网络访问也属于这个子类别。
组策略设置:账户管理
图3:账户管理审计设置可以用来审计用户及计算机账户和组的变化
以下是账户管理的子类别设置:
- 审计应用组管理:当执行应用组管理任务时,决定操作系统是否生成审计事件。这类任务包括创建、修改、删除一个应用组和添加或删除一个组成员。
- 审计计算机账户管理:当创建、修改或删除一个计算机账户时,决定操作系统是否生成审计事件。该设置用在域环境的计算机上监控账户相关的变化。
- 审计分配组管理:当执行分配组管理任务时,决定操作系统是否生成审计事件。该设置只在运行Windows Server 2008的计算机上有效。
- 审计其他账户管理事件:当访问一个账户密码哈希(主要发生在活动目录迁移工具移动密码数据时)或当密码检测策略API被调用时(可能是恶意的),决定操作系统是否生成审计事件。
- 审计安全组管理:当执行各种组管理任务,包括创建、改变或删除一个安全组、添加或删除一个安全组成员或者改变一个安全组的相关类型时,决定操作系统是否生成审计事件。(安全组常用于管理访问控制权限和分布列表)
- 审计用户账号管理:当各类用户账户管理任务发生时,决定操作系统是否生成审核事件。其中包括创建、改变、删除、重命名、禁用或启用和锁定或解除锁定用户账户。其他项目包括设置和修改用户账户密码、为用户账户添加SID历史、设置目录服务修复模式密码(仅管理员)、修改管理员组中账户权限和备份或恢复凭证管理器凭证。
详细追踪
图4:详细追踪子类别,它极少使用,能审计低级别的系统活动,可能生成大量的事件。
以下是详细追踪的子类别:
- 审计DPAPI活动:决定操作系统是否生成审核事件,当加密或解密指令调用数据保护应用接口(DPAPI)时。DPAPI用于保护敏感数据,如存储的密码和密钥。
- 审计进程创建:当进程创建,并且有创建它的用户或程序名时,决定操作系统是否产生审计事件。该类别通常用于对计算机行为和用户活动做级别的分析。
- 审计进程终止:当进程终止时(这里试图在终止失败时追踪失败报告) 决定操作系统是否生成审计事件。该类别通常用于计算机行为和用户活动的低级别分析。
- 审计RPC事件:当入站远程程序指令连接启动时决定操作系统是否生成审计事件。该子类别极少使用。
活动目录域服务访问
图5:这些设置审计与活动目录域服务对象的访问和修改有关的各种活动,而且这些设置只会在域控制器上生成审计事件。在这里,我们将不详细讨论该类别,因为该类别的内容仅与Windows 2008 R2 Server有关。
原文:http://www.searchsv.com.cn/showcontent_44934.htm
【编辑推荐】