审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置
介绍了有关“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”安全策略设置的最佳做法、位置、值和安全注意事项。
参考
可以通过使用审核策略子类别以更精确的方式管理审核策略。
设备上有超过 40 个审核子类别提供有关活动的精确详细信息。有关这些子类别的信息,请参阅高级安全审核策略设置。
可能值
启用
禁用
最佳做法
- 使该设置保留启用状态。这提供了在不修订策略的情况下在类别级别上审核事件的功能。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
启用 |
DC 有效默认设置 |
启用 |
成员服务器有效默认设置 |
启用 |
客户端计算机有效默认设置 |
已启用 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
组策略
所有审核功能都集成在组策略中。你可以在组策略管理控制台 (GPMC) 或者域、站点或组织单位 (OU) 的本地安全策略管理单元中配置、部署和管理这些设置。
审核
若要在不需要更改组策略的情况下使用子类别管理审核策略,SCENoApplyLegacyAuditPolicy 注册表值可防止从组策略和从本地安全策略管理工具应用类别级审核策略。
如果此处设置的类别级审核策略与当前生成的事件不一致,可能是因为设置了此注册表项。
命令行工具
可以在命令提示符下使用 auditpol.exe 来显示和管理审核策略。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
在 Windows Vista 中引入审核子类别之前,难以在每系统或每用户级别上跟踪事件。较大的事件类别创建了太多事件,并且难以查找需要审核的关键信息。
对策
根据需要启用审核策略子类别来跟踪特定事件。
潜在影响
如果你在通过命令行工具启用审核设置后尝试使用组策略修改此设置,将忽略组策略审核设置而支持自定义策略设置。若要使用组策略修改审核设置,你必须先禁用“SCENoApplyLegacyAuditPolicy”****密钥。
要点
在处理可能生成大量通信的审核设置时请小心谨慎。例如,如果你为所有特权使用子类别启用成功或失败审核,所生成的大量审核事件可能会使在安全事件日志中查找其他类型的条目变得很困难。此类配置还可能对系统性能产生重大影响。