监视 Active Directory 遭到破坏的迹象

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

第五法则:安全的代价就是需要恒久的警惕。 - 安全管理的 10 项不变法则

可靠的事件日志监视系统是任何安全 Active Directory 设计的关键组成部分。 如果目标实施了适当的事件日志监视和警报,则可以在事件发生的早期发现许多计算机安全漏洞。 独立报告一直以来都支持这一结论。 例如,2009 年 Verizon 数据泄露报告指出:

“事件监视和 Log Analytics 的明显低效性仍是一个谜。 检测的机会就在那里;调查人员指出,66% 的受害者在他们的日志中有足够的证据可以发现泄露问题,如果他们更勤奋地分析这些资源的话。”

缺少对活动事件日志的监视仍旧是许多公司安全防御计划中的一贯薄弱环节。 2012 年 Verizon 数据泄漏报告发现,尽管 85% 的泄露需要数周时间才能发现,但 84% 的受害者在其事件日志中有泄露的证据。

Windows 审核策略

下面是 Microsoft 官方企业支持博客的链接。 这些博客的内容提供了有关审核的意见、指导和建议,可帮助你增强 Active Directory 基础结构的安全性,是设计审核策略时的宝贵资源。

以下链接提供了有关 Windows 8 和 Windows Server 2012 中 Windows 审核改进的信息,以及有关 Windows Server 2008 中 AD DS 审核的信息。

  • 安全审核的新增功能 - 提供 Windows 8 和 Windows Server 2012 中的新安全审核功能的概述。
  • AD DS 审核分步指南 - 介绍 Windows Server 2008 中新的 Active Directory 域服务 (AD DS) 审核功能。 还介绍实现此新功能的过程。

Windows 审核类别

在 Windows Vista 和 Windows Server 2008 发行之前,Windows 只有九个事件日志审核策略类别:

  • 帐户登录事件
  • 帐户管理
  • 目录服务访问
  • 登录事件
  • 对象访问
  • 策略更改
  • 特权使用
  • 进程跟踪
  • 系统事件

这九个传统审核类别构成了审核策略。 可以针对“成功”、“失败”或“成功和失败”事件启用每种审核策略类别。 下一部分提供了其说明。

审核策略类别说明

审核策略类别启用以下事件日志消息类型。

审核帐户登录事件

审核帐户登录事件报告安全主体(例如用户、计算机或服务帐户)的每个实例,该安全主体正在登录到一台计算机或从中注销,而该计算机中使用了另一台计算机来验证帐户。 当域安全主体帐户在域控制器上进行身份验证时,将生成帐户登录事件。 对本地计算机上的本地用户进行身份验证会生成一个登录事件,该事件记录在本地安全日志中。 不会记录任何帐户注销事件。

此类别会生成大量“干扰性信息”,因为在正常营业期间,Windows 上会不断发生帐户登录到本地和远程计算机以及从中注销的活动。 尽管很方便,任何安全性计划都应该包括此审核类别的成功和失败状态。

审核帐户管理

此审核设置确定是否跟踪用户和组的管理。 例如,当创建、更改或删除用户或计算机帐户、安全组或通讯组时,应跟踪用户和组。 重命名、禁用或者启用用户或计算机帐户时,更改用户或计算机密码时,也应跟踪用户和组。 可为添加到其他组或者从其他组中删除的用户或组生成事件。

审核目录服务访问

此策略设置确定是否审核安全主体对具有自己指定的系统访问控制列表 (SACL) 的 Active Directory 对象的访问。 一般情况下,应该只在域控制器上启用此类别。 启用后,此设置会生成大量“干扰性信息”。

审核登录事件

当本地安全主体在本地计算机上进行身份验证时,会生成登录事件。 登录事件记录本地计算机上发生的域登录活动。 不会生成帐户注销事件。 启用后,登录事件会生成大量“干扰性信息”,但仍应默认在任何安全审核计划中启用此策略。

审核对象访问

访问启用了审核的后续定义的对象时,对象访问可以生成事件(例如“已打开”、“已读取”、“已重命名”、“已删除”或“已关闭”)。 启用主审核类别后,管理员必须单独定义要为哪些对象启用审核。 许多 Windows 系统对象都启用了审核,因此启用此类别通常会在管理员定义任何审核之前就开始生成事件。

此类别的干扰性很大,将为每个对象访问生成五到十个事件。 对于不熟悉对象审核的管理员来说,获取有用信息可能很困难。 请仅在需要时才启用它。

审核策略更改

此策略设置确定是要审核用户权限分配策略、Windows 防火墙策略、信任策略发生的每项更改,还是审核策略的更改。 应在所有计算机上启用此类别。 它生成的“干扰性信息”很少。

审核特权使用

Windows 中存在大量的用户权限(例如“作为批处理作业登录”,以及“作为操作系统的一部分进行操作”)。 此策略设置确定是否通过行使用户权限或特权来审核安全主体的每个实例。 启用此类别会生成大量“干扰性信息”,但有助于使用提升的特权来跟踪安全主体帐户。

审核进程跟踪

此策略设置确定是否审核程序激活、进程退出、句柄复制和间接对象访问等事件的详细进程跟踪信息。 它可用于跟踪恶意用户及其使用的程序。

启用审核进程跟踪会生成大量事件,因此通常设置为“不审核”。 但是,在事件响应期间,此设置可以基于启动的进程的详细日志及其启动时间提供极大的便利。 对于域控制器和其他单角色基础结构服务器,随时可以安全地打开此类别。 单角色服务器在正常工作期间不会生成太多的进程跟踪流量。 因此,可以启用它们来捕获发生的未经授权的事件。

系统事件审核

系统事件几乎是一个包罗万象的广泛类别,它会登记影响计算机、其系统安全或安全日志的各种事件。 这些事件包括计算机关机和重启、电源故障、系统时间更改、身份验证包初始化、审核日志清除、模拟问题和其他许多常规事件。 一般情况下,启用此审核类别会生成大量“干扰性信息”,但也会生成足够多的有用事件,因此我们还是建议启用它。

高级审核策略

从 Windows Vista 和 Windows Server 2008 开始,Microsoft 通过在每个主审核类别下创建子类别改进了事件日志类别的选择方式。 与使用主类别可以进行的审核相比,子类别可以显著提高审核的精细程度。 如果使用子类别,可以只启用特定主类别的一部分,并跳过无用事件的生成。 可以针对“成功”、“失败”或“成功和失败”事件启用每种审核策略子类别。

若要列出所有可用的审核子类别,请查看“组策略对象”中的“高级审核策略”容器,或者在运行 Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 8、Windows 7 或 Windows Vista 的任何计算机上的键入以下命令:

auditpol /list /subcategory:*

若要获取运行 Windows Server 2012、Windows Server 2008 R2 或 Windows 2008 的计算机上当前配置的审核子类别列表,请键入以下命令:

auditpol /get /category:*

以下屏幕截图显示了列出当前审核策略的 auditpol.exe 示例。

Screenshot that shows an example of auditpol.exe listing the current audit policy.

注意

组策略并不总能准确报告所有已启用的审核策略的状态,而 auditpol.exe 则可以。 有关更多详细信息,请参阅获取 Windows 7 和 2008 R2 中的有效审核策略

每个主类别有多个子类别。 下面列出了类别、其子类别及其功能说明。

审核子类别说明

审核策略子类别启用以下事件日志消息类型:

帐户登录

凭据验证

此子类别报告为用户帐户登录请求提交的凭据的验证测试结果。 这些事件发生在对凭据具有权威性的计算机上。 对于域帐户,域控制器具有权威性;对于本地帐户,本地计算机具有权威性。

在域环境中,大多数帐户登录事件记录在对域帐户具有权威性的域控制器的安全日志中。 但是,当使用本地帐户登录时,这些事件可能发生在组织中的其他计算机上。

Kerberos 服务票证操作

此子类别报告对域帐户具有权威性的域控制器上的 Kerberos 票证请求进程生成的事件。

Kerberos 身份验证服务

此子类别报告 Kerberos 身份验证服务生成的事件。 这些事件发生在对凭据具有权威性的计算机上。

其他帐户登录事件

此子类别报告针对用户帐户登录请求提交的凭据的响应中发生的、与凭据验证或 Kerberos 票证无关的事件。 这些事件发生在对凭据具有权威性的计算机上。 对于域帐户,域控制器具有权威性,而对于本地帐户,本地计算机具有权威性。

在域环境中,大多数帐户登录事件记录在对域帐户具有权威性的域控制器的安全日志中。 但是,当使用本地帐户登录时,这些事件可能发生在组织中的其他计算机上。 示例包括:

  • 远程桌面服务会话断开连接
  • 新建远程桌面服务会话
  • 锁定和解锁工作站
  • 调用屏幕保护程序
  • 消除屏幕保护程序
  • 检测 Kerberos 重播攻击,其中接收到包含相同信息的 Kerberos 请求两次
  • 授予用户或计算机帐户对无线网络的访问权限
  • 授予用户或计算机帐户对有线 802.1x 网络的访问权限

帐户管理

用户帐户管理

此子类别报告用户帐户管理的每个事件,例如:

  • 已创建、已更改或已删除的用户帐户
  • 已重命名、已禁用或已启用的用户账户
  • 已设置或已更改的密码

如果启用此审核策略设置,则管理员可以跟踪事件,以检测恶意、意外和未经授权创建用户帐户的活动。

计算机帐户管理

此子类别报告计算机帐户管理的每个事件,例如创建、更改、删除、重命名、禁用或启用计算机帐户。

安全组管理

此子类别报告安全组管理的每个事件,例如创建、更改或删除安全组,或者向安全组添加成员或从安全组中删除成员。 如果启用此审核策略设置,则管理员可以跟踪事件,以检测恶意、意外和未经授权创建安全组帐户的活动。

通讯组管理

此子类别报告通讯组管理的每个事件,例如创建、更改或删除通讯组,或者向通讯组添加成员或从通讯组中删除成员。 如果启用此审核策略设置,则管理员可以跟踪事件,以检测恶意、意外和未经授权创建组帐户的活动。

应用程序组管理

此子类别报告计算机上应用程序组管理的每个事件,例如创建、更改或删除应用程序组,或者向应用程序组添加成员或从应用程序组中删除成员。 如果启用此审核策略设置,则管理员可以跟踪事件,以检测恶意、意外和未经授权创建应用程序组帐户的活动。

其他帐户管理事件

此子类别报告其他帐户管理事件。

详细进程跟踪

详细进程跟踪监视包括进程的创建和终止。

创建进程

此子类别报告进程的创建以及创建该进程的用户或程序的名称。

进程终止

此子类别报告进程终止的情况。

DPAPI 活动

此子类别报告对数据保护应用程序编程接口 (DPAPI) 的加密或解密调用。 DPAPI 用于保护机密信息,例如存储的密码和密钥信息。

RPC 事件

此子类别报告远程过程调用 (RPC) 连接事件。

目录服务访问

目录服务访问

此子类别报告访问 AD DS 对象的情况。 只有配置了 SACL 的对象才会导致生成审核事件,并且前提是以与 SACL 条目匹配的方式访问这些对象。 这些事件类似于早期版本的 Windows Server 中的目录服务访问事件。 此子类别仅适用于域控制器。

目录服务更改

此子类别报告对 AD DS 中对象的更改。 报告的更改类型包括针对某个对象执行的创建、修改、移动和取消删除操作。 目录服务更改审核(如果适用)指示已更改对象的已更改属性的旧值和新值。 只有具有 SACL 的对象才会导致生成审核事件,并且前提是以其 SACL 条目匹配的方式访问这些对象。 由于架构中对象类的设置,某些对象和属性不会导致生成审核事件。 此子类别仅适用于域控制器。

目录服务复制

此子类别报告两个域控制器之间的复制开始时间和结束时间。

详细的目录服务复制

此子类别详细报告有关在域控制器之间复制的信息。 这些事件的数量可能很大。

登录/注销

登录

此子类别报告用户何时尝试登录到系统。 这些事件发生在被访问的计算机上。 对于交互式登录,这些事件的生成发生在用户登录到的计算机上。 如果进行网络登录来访问共享,则这些事件将在承载被访问资源的计算机上生成。 如果将此设置配置为“不审核”,则很难或者根本无法确定哪个用户已访问或尝试访问组织计算机。

网络策略服务器

此子类别报告 RADIUS (IAS) 和网络访问保护 (NAP) 用户访问请求生成的事件。 这些请求可以是“授予”、“拒绝”、“放弃”、“隔离”、“锁定”和“解锁”。 审核此设置将导致 NPS 和 IAS 服务器上出现中高数量的记录。

IPsec 主模式

此子类别报告主模式协商期间的 Internet 密钥交换 (IKE) 协议和身份验证 Internet 协议 (AuthIP) 结果。

IPsec 扩展模式

此子类别报告扩展模式协商期间的 AuthIP 结果。

其他登录/注销事件

此子类别报告其他与登录和注销相关的事件,例如远程桌面服务会话断开连接和重新连接、使用“运行方式”在不同的帐户下运行进程,以及锁定和解锁工作站。

Logoff

此子类别报告用户从系统注销的情况。 这些事件发生在被访问的计算机上。 对于交互式登录,这些事件的生成发生在用户登录到的计算机上。 如果进行网络登录来访问共享,则这些事件将在承载被访问资源的计算机上生成。 如果将此设置配置为“不审核”,则很难或者根本无法确定哪个用户已访问或尝试访问组织计算机。

帐户锁定

此子类别报告用户帐户由于登录尝试失败次数过多而被锁定的情况。

IPsec 快速模式

此子类别报告快速模式协商期间的 IKE 协议和 AuthIP 结果。

特殊登录

此子类别报告使用特殊登录的情况。 特殊登录是具有管理员等效特权的登录,可用于将进程提升到更高级别。

策略更改

审核策略更改

此子类别报告审核策略的更改,包括 SACL 更改。

身份验证策略更改

此子类别报告身份验证策略的更改。

授权策略更改

此子类别报告授权策略中的更改,包括权限 (DACL) 更改。

MPSSVC 规则级别策略更改

此子类别报告 Microsoft 保护服务 (MPSSVC.exe) 所使用的策略规则的更改。 Windows 防火墙使用此服务。

筛选平台策略更改

此子类别报告在 WFP 中添加和删除对象的操作,包括启动筛选器。 这些事件的数量可能很大。

其他策略更改事件

此子类别报告其他类型的安全策略更改,例如受信任的平台模块 (TPM) 或加密提供程序的配置。

特权使用

特权使用包括敏感和非敏感特权。

敏感特权使用

此子类别报告用户帐户或服务使用敏感特权的情况。 敏感特权包括以下用户权限:

  • 以操作系统方式操作
  • 备份文件和目录
  • 创建令牌对象,调试程序
  • 信任计算机和用户帐户可以执行委派
  • 生成安全审核,在身份验证后模拟客户端
  • 加载和卸载设备驱动程序
  • 管理审核和安全日志
  • 修改固件环境值
  • 替换进程级标记,还原文件和目录
  • 获得文件或其他对象的所有权。

审核此子类别将产生大量事件。

非敏感特权使用

此子类别报告用户帐户或服务使用非敏感特权的情况。 非敏感特权包括以下用户权限:

  • 作为受信任呼叫方的访问凭据管理器
  • 从网络访问此计算机
  • 将工作站添加到域
  • 为进程调整内存配额
  • 允许本地登录
  • 允许通过远程桌面服务登录
  • 跳过遍历检查
  • 更改系统时间
  • 创建页面文件
  • 创建全局对象
  • 创建永久共享对象
  • 创建符号链接
  • 拒绝从网络访问此计算机
  • 拒绝以批处理作业登录
  • 拒绝以服务身份登录
  • 拒绝本地登录
  • 拒绝通过远程桌面服务登录
  • 从远程系统强制关机
  • 增加进程工作集
  • 提高日程安排的优先级
  • 在内存中锁定页面
  • 作为批处理作业登录
  • 作为服务登录
  • 修改对象标签
  • 执行卷维护任务
  • 配置文件单一进程
  • 配置文件系统性能
  • 从扩展坞中取出计算机
  • 关闭系统
  • 同步目录服务数据。

审核此子类别将产生极大量的事件。

其他特权使用事件

当前未使用此安全策略设置。

对象访问

“对象访问”类别包括“文件系统”和“注册表”子类别。

文件系统

此子类别报告访问文件系统对象的情况。 只有具有 SACL 的文件系统对象才会导致生成审核事件,并且前提是以其 SACL 条目匹配的方式访问这些对象。 此策略设置本身不会导致审核任何事件。 它确定是否审核某个访问具有指定系统访问控制列表 (SACL) 的文件系统对象的用户的事件,从而有效地使审核能够进行。

如果审核对象访问设置配置为“成功”,则每当用户成功访问具有指定 SACL 的对象时,都会生成审核条目。 如果此策略设置配置为“失败”,则每当用户尝试访问具有指定 SACL 的对象失败时,都会生成审核条目。

注册表

此子类别报告访问注册表对象的情况。 只有具有 SACL 的注册表对象才会导致生成审核事件,并且前提是以其 SACL 条目匹配的方式访问这些对象。 此策略设置本身不会导致审核任何事件。

内核对象

此子类别报告访问进程和互斥等内核对象的情况。 只有具有 SACL 的内核对象才会导致生成审核事件,并且前提是以其 SACL 条目匹配的方式访问这些对象。 通常,仅当启用了 AuditBaseObjects 或 AuditBaseDirectories 审核选项时,才为内核对象指定 SACL。

SAM

此子类别报告访问本地安全帐户管理器 (SAM) 身份验证数据库对象的情况。

认证服务

此子类别报告执行认证服务操作的情况。

应用程序生成了事件

此子类别报告应用程序尝试使用 Windows 审核应用程序编程接口 (API) 生成审核事件的情况。

句柄操作

此子类别报告打开或关闭对象句柄的情况。 只有具有 SACL 的对象才会导致生成这些事件,并且前提是尝试的句柄操作与 SACL 条目匹配。 只会针对启用了相应对象访问子类别的对象类型(例如文件系统或注册表)生成句柄操作事件。

文件共享

此子类别报告访问文件共享的情况。 此策略设置本身不会导致审核任何事件。 它确定是否审核某个访问具有指定系统访问控制列表 (SACL) 的文件共享对象的用户的事件,从而有效地使审核能够进行。

筛选平台数据包丢弃

子类别报告 Windows 筛选平台 (WFP) 丢弃数据包的情况。 这些事件的数量可能很大。

筛选平台连接

此子类别报告 WFP 允许或阻止连接的情况。 这些事件的数量可能很大。

其他对象访问事件

此子类别报告其他与对象访问相关的事件,例如任务计划程序作业和 COM+ 对象。

系统

安全状态更改

此子类别报告系统的安全状态更改,例如安全子系统启动和停止。

安全系统扩展

此子类别报告由安全子系统执行的扩展代码(例如身份验证包)的加载。

系统完整性

此子类别报告安全子系统的完整性违规。

IPsec 驱动程序

此子类别报告 Internet 协议安全 (IPsec) 驱动程序的活动。

其他系统事件

此子类别将报告其他系统事件。

有关子类别说明的详细信息,请参阅 Microsoft 安全合规管理器工具

每个组织应查看前面涵盖的类别和子类别,并启用最适合其环境的类别和子类别。 在生产环境中部署之前,应始终测试对审核策略的更改。

配置 Windows 审核策略

可以使用组策略、auditpol.exe、API 或注册表编辑设置 Windows 审核策略。 对于大多数公司而言,配置审核策略的建议方法是使用组策略或 auditpol.exe。 设置系统的审核策略需要管理员级别的帐户权限或相应的委托权限。

注意

必须向安全主体授予“管理审核和安全日志”特权(管理员默认拥有该特权),以允许修改各个资源(例如文件、Active Directory 对象和注册表项)的对象访问审核选项。

使用组策略设置 Windows 审核策略

若要使用组策略设置审核策略,请配置位于“计算机配置”\“Windows 设置”\“安全设置”\“本地策略”\“审核策略”下的相应审核类别(参阅以下屏幕截图中本地组策略编辑器 (gpedit.msc) 的示例)。 可以针对“成功”、“失败”或“成功和失败”事件启用每种审核策略类别。

monitoring AD

可以使用 Active Directory 或本地组策略设置高级审核策略。 若要设置高级审核策略,请配置位于“计算机配置”\“Windows 设置”\“安全设置”\“高级审核策略”下的相应子类别(参阅以下屏幕截图中本地组策略编辑器 (gpedit.msc) 的示例)。 可以针对“成功”、“失败”或“成功和失败”事件启用每种审核策略子类别。

Screenshot that shows an example from the Local Group Policy Editor (gpedit.msc).

使用 Auditpol.exe 设置 Windows 审核策略

Windows Server 2008 和 Windows Vista 中引入了 Auditpol.exe(用于设置 Windows 审核策略)。 最初,只能使用 auditpol.exe 设置高级审核策略,但可以在 Windows Server 2012、Windows Server 2008 R2 或 Windows Server 2008、Windows 8 和 Windows 7 中使用组策略。

Auditpol.exe 是一个命令行实用工具。 语法如下所示:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe 语法示例:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

注意

Auditpol.exe 在本地设置高级审核策略。 如果本地策略与 Active Directory 或本地组策略冲突,则组策略设置通常优先于 auditpol.exe 设置。 当组策略或本地策略发生多种冲突时,只以一个策略为准(即取代)。 审核策略不会合并。

编写 Auditpol 脚本

Microsoft 为想要使用脚本而不是手动键入每个 auditpol.exe 命令来设置高级审核策略的管理员提供了示例脚本

注意:组策略并不总能准确报告所有已启用的审核策略的状态,而 auditpol.exe 则可以。 有关更多详细信息,请参阅获取 Windows 7 和 Windows 2008 R2 中的有效审核策略

其他 Auditpol 命令

Auditpol.exe 可用于保存和还原本地审核策略,以及查看其他审核相关命令。 其他 auditpol 命令如下。

auditpol /clear - 用于清除和重置本地审核策略

auditpol /backup /file:<filename> - 用于将当前本地审核策略备份到二进制文件

auditpol /restore /file:<filename> - 用于将以前保存的审核策略文件导入本地审核策略

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - 如果启用此审核策略设置,在出于任何原因无法记录安全审核的情况下,会导致系统立即停止(出现“停止: C0000244 {审核失败}”消息)。 通常,如果安全审核日志已满并且为安全日志指定的保留方法为“不覆盖事件”或“根据天数覆盖事件”,则无法记录事件。 通常,此策略仅在需要更高安全日志记录保证的环境中启用。 如果启用,则管理员必须密切监视安全日志大小,并根据需要轮换日志。 也可以通过在组策略中修改安全选项“审核: 如果无法记录安全审核,则立即关闭系统”(默认设置=已禁用)来设置此策略。

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - 此审核策略设置确定是否审核全局系统对象的访问。 如果启用此策略,则会使用默认的系统访问控制列表 (SACL) 创建系统对象,例如互斥、事件、信号灯和 DOS 设备。 大多数管理员认为审核全局系统对象会造成过多的干扰,只在怀疑遭到恶意黑客攻击时才启用它。 仅为命名对象指定 SACL。 如果同时还启用了审核对象访问审核策略(或内核对象审核子类别),则会审核对这些系统对象的访问。 配置此安全设置时,更改只会在重启 Windows 之后才生效。 也可以通过在组策略中修改安全选项“审核全局系统对象的访问”(默认设置=已禁用)来设置此策略。

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - 此审核策略设置指定在创建命名内核对象(例如互斥和信号灯)时为其指定 SACL。 AuditBaseDirectories 影响容器对象,而 AuditBaseObjects 影响不能包含其他对象的对象。

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - 此审核策略设置指定在将以下一项或多项特权分配给用户安全令牌时,客户端是否生成事件:

  • AssignPrimaryTokenPrivilege
  • AuditPrivilege
  • BackupPrivilege
  • CreateTokenPrivilege
  • DebugPrivilege
  • EnableDelegationPrivilege
  • ImpersonatePrivilege
  • LoadDriverPrivilege
  • RestorePrivilege
  • SecurityPrivilege
  • SystemEnvironmentPrivilege
  • TakeOwnershipPrivilege
  • TcbPrivilege。

如果未启用此选项(默认设置=已禁用),则不记录 BackupPrivilege 和 RestorePrivilege 特权。 启用此选项会导致在备份操作期间安全日志中出现极多的干扰性信息(有时每秒记录数百个事件)。 也可以通过在组策略中修改安全选项“审核: 审核备份和还原特权的使用”来设置此策略。

注意

此处提供的一些信息摘自 Microsoft 审核选项类型和 Microsoft SCM 工具。

强制执行传统审核或高级审核

在 Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 8、Windows 7 和 Windows Vista 中,管理员可以选择启用九个传统类别或使用子类别。 这是必须在每个 Windows 系统中做出的二元选择。 可以启用主类别或子类别;但不能同时启用两者。

若要防止旧式传统类别策略覆盖审核策略子类别,必须启用“计算机配置”\“Windows 设置”\“安全设置”\“本地策略”\“安全选项”下的“强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”策略设置。

我们建议启用并配置子类别而不是九个主类别。 这需要启用一项组策略设置(以允许子类别替代审核类别),并配置支持审核策略的不同子类别。

可以使用多种方法(包括组策略和命令行程序 auditpol.exe)配置审核子类别。

后续步骤