审核: 对全局系统对象的访问进行审核
介绍了有关“审核: 对全局系统对象的访问进行审核”安全策略设置的最佳做法、位置、值和安全注意事项。
参考
如果你启用此策略设置,在设备创建系统对象(如互斥、事件、信号灯和 MS-DOS® 设备)时将应用默认的系统访问控制列表 (SACL)。如果还启用了“审核对象访问”审核设置,将审核对这些系统对象的访问。
全局系统对象(也称为“基本系统对象”或“基本命名对象”)是临时的内核对象,具有按创建它们的应用程序或系统组件分配给它们的名称。这些对象通常用于同步多个应用程序或复杂应用程序的多个部分。由于它们具有名称,因此这些对象的范围为全局,从而对设备上的所有进程可见。这些对象全都具有安全描述符;但通常情况下,它们没有 NULL SACL。如果你启用此策略设置并且它在启动时生效,内核会在创建对象时将一个 SACL 分配给这些对象。
存在一个威胁,即如果未正确保护全局可见的命名对象,知道该对象名称的恶意程序可能会对其执行操作。例如,如果互斥等同步对象具有构造不佳的自定义访问控制列表 (DACL),恶意程序可按名称访问该互斥,并导致创建它的程序无法正常工作。但是,发生这种情况的风险很低。
启用此策略设置可能会生成大量安全事件,在繁忙的域控制器和应用程序服务器上尤其如此。这可能导致服务器响应速度缓慢,并强制安全日志记录大量无关紧要的事件。审核对全局系统对象的访问是一项非此即彼的事务;无法筛选记录哪些事件,不记录哪些事件。即使组织具有用于分析在启用此策略设置时生成的事件的资源,它不太可能具有源代码或有关每个命名对象的用途的说明;因此,不可能有很多组织从启用此策略设置中受益。
可能值
启用
禁用
未定义
最佳做法
- 使用“高级安全审核策略设置”\“对象访问”中的高级安全审核策略选项“审核内核对象”来减少你生成的不相关审核事件的数量。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
禁用 |
DC 有效默认设置 |
禁用 |
成员服务器有效默认设置 |
禁用 |
客户端计算机有效默认设置 |
已禁用 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
当以本地方式保存或通过组策略分配对本策略的更改时,无需重启计算机即可使此策略生效。
组策略
所有审核功能都集成在组策略中。你可以在组策略管理控制台 (GPMC) 或者域、站点或组织单位 (OU) 的本地安全策略管理单元中配置、部署和管理这些设置。
审核
若要审核访问全局系统对象的尝试,你可以使用两个安全审核策略设置之一:
如果可能,请使用“高级安全审核策略”选项减少你生成的不相关审核事件的数量。
如果配置“审核内核对象”设置,将生成以下事件:
| 事件 ID | 事件消息 |
|---|---|
4659 |
已请求删除对象的句柄。 |
4660 |
对象已删除。 |
4661 |
已请求对象的句柄。 |
4663 |
已尝试访问对象。 |
如果配置“审核内核对象”设置,将生成以下事件。
| 事件 ID | 事件消息 |
|---|---|
560 |
已向现有对象授予访问权限。 |
562 |
对象的句柄已关闭。 |
563 |
已尝试打开某个对象,以便删除它。 注意当在 Createfile() 中指定 FILE_DELETE_ON_CLOSE 标志时,文件系统将使用此事件。 |
564 |
已删除受保护的对象。 |
565 |
已向现有对象类型授予访问权限。 |
567 |
已使用与句柄相关联的权限。 注意使用某些授予的权限(读取、写入等)创建句柄。使用该句柄时,最多为所使用的每个权限生成一个审核。 |
569 |
授权管理器中的资源管理器已尝试创建客户端上下文。 |
570 |
客户端已尝试访问对象。 注意将为对象上的每个尝试操作生成一个事件。 |
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
如果未正确保护全局可见命名对象,恶意软件可能使用该对象的名称对其进行操作。例如,如果互斥等同步对象具有选择不当的自定义访问控制列表 (DACL),恶意软件可按名称访问该互斥并导致创建它的程序无法正常运行。但是,发生这种情况的风险非常低。
对策
启用“审核: 对全局系统对象的访问进行审核”设置。
潜在影响
如果你启用“审核: 对全局系统对象的访问进行审核”****设置,可能会生成大量安全事件,在繁忙的域控制器和应用程序服务器上尤其如此。此类情况可能会导致服务器响应速度缓慢,并强制安全日志记录大量无关紧要的事件。只能启用或禁用此策略设置,无法从此设置中选择记录哪些事件。即使组织有用于分析此策略设置生成的事件的资源,但他们也不可能具有源代码或有关每个命名对象的用途的说明。因此,大多数组织不可能通过启用此策略设置受益。
若要减少生成的审核事件的数量,请使用高级审核策略。