监视 Active Directory 遭到破坏的迹象

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

定律5:永久警惕是安全的价格。 - -

固态事件日志监视系统是任何安全 Active Directory 设计的重要组成部分。 如果受害者制订适当的事件日志监视和警报,则很多计算机安全威胁可能在事件初期发现。 此结论支持独立报表。 例如, 2009 Verizon 数据违规报告 状态:

"事件监视和日志分析的明显 ineffectiveness 仍是一个 enigma。 检测的机会有;调查人员指出,66% 的受害者在其日志中有足够的证据来发现违规行为是否更用心分析此类资源。 "

缺乏监视活动的事件日志在许多公司的安全防御计划中仍然是一种一致的缺点。 2012 Verizon 数据违规报告发现,即使违反了85% 的行为,也需要几周的时间才能注意到84,因为受害者的攻击百分比在其事件日志中有违反的证据。

Windows 审核策略

下面是 Microsoft 官方企业支持博客的链接。 这些博客的内容提供有关审核的建议、指导和建议,这些建议可帮助你增强 Active Directory 基础结构的安全性,并且在设计审核策略时是有价值的资源。

以下链接提供有关 Windows 8 和 Windows Server 2012 中 Windows 审核的改进的信息,以及有关 Windows Server 2008 中 AD DS 审核的信息。

  • 安全审核中的新增功能-概述了 Windows 8 和 Windows Server 2012 中的新安全审核功能。
  • AD DS 审核循序渐进指南-介绍) Server 2008 中 (AD DS Windows 审核功能的新 Active Directory 域服务。 它还提供了实现此新功能的过程。

Windows 审核类别

在 Windows Vista 和 Windows Server 2008 之前,Windows 只有九个事件日志审核策略类别:

  • 帐户登录事件
  • 帐户管理
  • 目录服务访问
  • 登录事件
  • 对象访问
  • 策略更改
  • 特权使用
  • 进程跟踪
  • 系统事件

这九个传统审核类别构成了审核策略。 可以为成功、失败或成功和失败事件启用每个审核策略类别。 下一节中提供了这些说明。

审核策略类别说明

审核策略类别启用以下事件日志消息类型。

审核帐户登录事件

报告安全主体 (的每个实例,例如,用户、计算机或服务帐户) ,这些实例在一台计算机上登录或注销,而另一台计算机用于验证帐户。 帐户登录事件是在域控制器上对域安全主体帐户进行身份验证时生成的。 本地计算机上本地用户的身份验证将生成一个登录事件,该事件记录在本地安全日志中。 不记录任何帐户注销事件。

由于在正常业务过程中,Windows 经常会登录和注销本地和远程计算机,因此此类别会产生许多 "干扰"。 尽管如此,任何安全计划都应包括此审核类别的成功和失败。

审核帐户管理

此审核设置确定是否跟踪用户和组的管理。 例如,在创建、更改或删除用户或计算机帐户、安全组或通讯组时,应跟踪用户和组;如果重命名、禁用或启用用户帐户或计算机帐户,则为;或更改了用户或计算机密码。 可以为在其他组中添加或删除的用户或组生成事件。

审核目录服务访问

此策略设置确定是否审核对 Active Directory 对象(该对象具有自己的指定系统访问控制列表 (SACL) 的安全主体的访问权限。 通常,只应在域控制器上启用此类别。 启用后,此设置会生成许多 "干扰"。

审核登录事件

在本地计算机上对本地安全主体进行身份验证时,将生成登录事件。 登录事件记录在本地计算机上发生的域登录。 不会生成帐户注销事件。 启用后,登录事件会生成很多 "噪音",但在任何安全审核计划中,它们应默认启用。

审核对象访问

如果随后定义的对象启用了审核,则对象访问可以生成事件, (例如,打开、读取、重命名、删除或关闭) 。 启用主审核类别之后,管理员必须单独定义哪些对象将启用审核。 许多 Windows 系统对象都启用了审核功能,因此,启用此类别通常会在管理员定义任何事件之前开始生成事件。

此类别非常 "干扰",将为每个对象访问生成五到十个事件。 对象审核的新管理员难以获取有用的信息。 只应在需要时启用它。

审核策略更改

此策略设置确定是否审核对用户权限分配策略的每个更改,Windows 防火墙策略、信任策略或对审核策略进行的更改。 应在所有计算机上启用此类别。 它生成的噪音非常小。

审核权限使用

Windows 中有数十个用户权限 (例如,作为批处理作业登录并作为操作系统) 的一部分。 此策略设置确定是否通过行使用户权限或特权来审核安全主体的每个实例。 启用此类别将导致很多 "噪音",但在使用提升的权限跟踪安全主体帐户时可能会有帮助。

审核过程跟踪

此策略设置确定是否审核详细的进程跟踪信息,如程序激活、进程退出、处理重复和间接对象访问等。 这对于跟踪恶意用户及其使用的程序很有用。

启用审核过程跟踪会生成大量事件,因此通常会将其设置为 " 无审核"。 但是,在事件响应期间,此设置可以从已启动进程的详细日志和启动时间的详细日志中提供极大的好处。 对于域控制器和其他单一角色基础结构服务器,可以随时安全地启用此类别。 单个角色服务器在其职责的正常过程中不会生成大量的进程跟踪流量。 这样,就可以在发生未经授权的事件时捕获它们。

系统事件审核

系统事件几乎是一般的全部捕获类别,用于注册影响计算机、其系统安全或安全日志的各种事件。 其中包括用于计算机关闭和重启的事件、电源故障、系统时间更改、身份验证包初始化、审核日志 clearings、模拟问题和其他一般事件的主机。 通常,启用此审核类别会生成很多 "噪音",但会生成足够多的事件,这很难建议不要启用。

高级审核策略

从 Windows Vista 和 Windows Server 2008 开始,Microsoft 通过在每个主审核类别下创建子类别,改进了事件日志类别选择的方式。 子类别允许审核比使用主要类别更精细。 通过使用子类别,可以仅启用特定主类别的部分,并跳过生成不使用的事件。 可以针对“成功”、“失败”或“成功和失败”事件启用每种审核策略子类别。

若要列出所有可用的审核子类别,请在组策略对象中查看高级审核策略容器,或在运行 Windows Server 2012、Windows Server 2008 R2 或 Windows Server 2008、Windows 8、Windows 7 或 Windows 的任何计算机上的命令提示符下键入以下命令: Vista

auditpol /list /subcategory:*

若要获取在运行 Windows Server 2012、Windows Server 2008 R2 或 Windows 2008 的计算机上当前配置的审核子类别的列表,请键入以下内容:

auditpol /get /category:*

以下屏幕截图显示了列出当前审核策略 auditpol.exe 的示例。

Screenshot that shows an example of auditpol.exe listing the current audit policy.

注意

组策略不会始终准确报告所有启用的审核策略的状态,而 auditpol.exe 会。 有关更多详细信息,请参阅获取 Windows 7 和 2008 R2 中的有效审核策略

每个主类别都有多个子类别。 下面是类别的列表、其子类别及其函数的说明。

审核子类别说明

审核策略子类别启用以下事件日志消息类型:

帐户登录

凭据验证

此子类别报告针对为用户帐户登录请求提交的凭据的验证测试结果。 这些事件发生在对凭据具有权威的计算机上。 对于域帐户,域控制器是权威的,而对于本地帐户,本地计算机是权威的。

在域环境中,大多数帐户登录事件记录在对域帐户具有权威的域控制器的安全日志中。 但是,当使用本地帐户登录时,这些事件可能发生在组织的其他计算机上。

Kerberos 服务票证操作

此子类别报告由域控制器上对域帐户具有权威的 Kerberos 票证请求进程生成的事件。

Kerberos 身份验证服务

此子类别报告 Kerberos 身份验证服务生成的事件。 这些事件发生在对凭据具有权威的计算机上。

其他帐户登录事件

此子类别报告响应为用户帐户登录请求提交的凭据而发生的与凭据验证或 Kerberos 票证不相关的事件。 这些事件发生在对凭据具有权威的计算机上。 对于域帐户,域控制器是权威的,而对于本地帐户,本地计算机是权威的。

在域环境中,大多数帐户登录事件都记录在对域帐户具有权威的域控制器的安全日志中。 但是,当使用本地帐户登录时,这些事件可能发生在组织的其他计算机上。 示例可能包括:

  • 远程桌面服务会话断开连接
  • 新远程桌面服务会话
  • 锁定和解锁工作站
  • 调用屏幕保护程序
  • 关闭屏幕保护程序
  • 检测到 Kerberos 重播攻击,其中两次收到具有相同信息的 Kerberos 请求
  • 访问授予用户或计算机帐户的无线网络
  • 访问授予用户或计算机帐户的有线 802.1x 网络

帐户管理

用户帐户管理

此子类别报告用户帐户管理的每个事件,例如创建、更改或删除用户帐户时;用户帐户已重命名、禁用或启用;或设置或更改密码。 如果启用此审核策略设置,管理员可以跟踪事件以检测恶意、意外和授权用户帐户创建。

计算机帐户管理

此子类别报告计算机帐户管理的每个事件,例如创建、更改、删除、重命名、禁用或启用计算机帐户时。

安全组管理

此子类别报告安全组管理的每个事件,例如创建、更改或删除安全组时,或者将成员添加到安全组或从安全组中删除成员时。 如果启用此审核策略设置,管理员可以跟踪事件以检测恶意、意外和授权的安全组帐户创建。

通讯组管理

此子类别报告通讯组管理的每个事件,例如创建、更改或删除通讯组时,或者将成员添加到通讯组或从通讯组中删除成员时。 如果启用此审核策略设置,管理员可以跟踪事件以检测恶意、意外和授权的组帐户创建。

应用程序组管理

此子类别报告计算机上应用程序组管理的每个事件,例如创建、更改或删除应用程序组时,或者将成员添加到应用程序组或从应用程序组中删除成员时。 如果启用此审核策略设置,管理员可以跟踪事件以检测恶意、意外和授权的应用程序组帐户创建。

其他帐户管理事件

此子类别报告其他帐户管理事件。

详细进程跟踪

创建进程

此子类别报告进程的创建以及创建进程的用户或程序的名称。

进程终止

此子类别报告进程何时终止。

DPAPI 活动

此子类别报告对 DPAPI 中数据保护应用程序编程接口的 (或) 。 DPAPI 用于保护机密信息,例如存储的密码和密钥信息。

RPC 事件

此子类别报告 RPC (连接) 远程过程调用。

目录服务访问

目录服务访问

此子类别报告何时AD DS对象。 只有配置了 SACL 的对象才能生成审核事件,并且仅在以与 SACL 条目匹配的方式访问它们时生成这些事件。 这些事件类似于早期版本的 Windows Server 中的目录服务访问事件。 此子类别仅适用于域控制器。

目录服务更改

此子类别报告对中对象的AD DS。 报告的更改类型是在对象上执行的创建、修改、移动和取消删除操作。 目录服务更改审核(如果适用)指示已更改对象的更改属性的旧值和新值。 只有具有 S ACL 的对象才能生成审核事件,并且仅在以匹配其 SACL 条目的方式访问这些对象时生成。 由于架构中对象类的设置,某些对象和属性不会导致生成审核事件。 此子类别仅适用于域控制器。

目录服务复制

此子类别报告两个域控制器之间的复制开始和结束的时间。

详细的目录服务复制

此子类别报告有关域控制器之间复制的信息的详细信息。 这些事件的量可能非常高。

登录/注销

登录

此子类别报告用户尝试登录到系统时。 这些事件发生在被访问的计算机上。 对于交互式登录,这些事件的生成发生在登录的计算机上。 如果发生网络登录以访问共享,则这些事件在承载所访问资源的计算机上生成。 如果将此设置配置为"无审核",则很难或不可能确定访问或尝试访问组织计算机的用户。

网络策略服务器

此子类别报告 RADIUS (IAS) 网络访问保护 (NAP) 用户访问请求生成的事件。 这些请求可以是"授予"、"拒绝"、"放弃"、"隔离"、"锁定"和"解锁"。 审核此设置将导致 NPS 和 IAS 服务器上记录量中等或较高。

IPsec 主模式

此子类别在主模式协商期间Exchange (IKE) 协议和 已验证 Internet 协议 (AuthIP) 的结果。

IPsec 扩展模式

此子类别在扩展模式协商期间报告 AuthIP 的结果。

其他登录/注销事件

此子类别报告其他与登录和注销相关的事件,例如 远程桌面服务 会话断开连接和重新连接、使用 RunAs 在不同的帐户下运行进程,以及锁定和解锁工作站。

Logoff

此子类别报告用户注销系统时。 这些事件发生在被访问的计算机上。 对于交互式登录,这些事件的生成发生在登录的计算机上。 如果发生网络登录以访问共享,则这些事件在承载所访问资源的计算机上生成。 如果将此设置配置为"无审核",则很难或不可能确定访问或尝试访问组织计算机的用户。

帐户锁定

此子类别报告用户帐户因登录尝试失败次数过多而被锁定时。

IPsec 快速模式

此子类别在快速模式协商期间报告 IKE 协议和 AuthIP 的结果。

特殊登录

此子类别报告何时使用特殊登录。 特殊登录是具有管理员等效权限的登录,可用于将进程提升到更高级别。

策略更改

审核策略更改

此子类别报告审核策略中的更改,包括 SACL 更改。

身份验证策略更改

此子类别报告身份验证策略的更改。

授权策略更改

此子类别报告授权策略中的更改,包括 DACL (权限) 更改。

MPSSVC Rule-Level策略更改

此子类别报告 Microsoft 保护服务 (MPSSVC.exe) 使用的策略规则更改。 Windows 防火墙使用此服务。

筛选平台策略更改

此子类别报告从 WFP 添加和删除对象(包括启动筛选器)。 这些事件的量可能非常高。

其他策略更改事件

此子类别报告其他类型的安全策略更改,例如配置 TPM 受信任的平台模块 (或) 提供程序。

特权使用

敏感特权使用

此子类别报告用户帐户或服务何时使用敏感特权。 敏感特权包括以下用户权限:充当操作系统的一部分、备份文件和目录、创建令牌对象、调试程序、使计算机和用户帐户受信任以委派、生成安全审核、在身份验证后模拟客户端、加载和卸载设备驱动程序、管理审核和安全日志、修改固件环境值、 替换进程级令牌、还原文件和目录,并取得文件或其他对象的所有权。 审核此子类别将产生大量事件。

非敏感特权使用

此子类别报告用户帐户或服务何时使用不敏感特权。 非敏感特权包括以下用户权限:以受信任的调用方身份访问 凭据管理器、从网络访问此计算机、将工作站添加到域、调整进程的内存配额、允许本地登录、允许通过 远程桌面服务 登录、绕过遍历检查、更改系统时间、创建页面文件、创建全局对象、创建永久共享对象, 创建符号链接、拒绝从网络访问此计算机、拒绝作为批处理作业登录、拒绝作为服务登录、拒绝本地登录、拒绝通过 远程桌面服务 登录、强制从远程系统关闭、增加进程工作集、提高计划优先级、锁定内存中页、以批处理作业方式登录, 作为服务登录、修改对象标签、执行卷维护任务、分析单个进程、分析系统性能、从停靠工作站中删除计算机、关闭系统以及同步目录服务数据。 审核此子类别将创建大量事件。

其他特权使用事件

当前未使用此安全策略设置。

对象访问

文件系统

此子类别报告何时访问文件系统对象。 只有具有 S ACL 的文件系统对象才会导致生成审核事件,并且仅在以与 SACL 条目匹配的方式访问它们时生成这些事件。 此策略设置本身不会导致审核任何事件。 它确定是否审核访问具有指定系统访问控制列表 (SACL) 的文件系统对象的用户的事件,从而有效地启用审核。

如果审核对象访问设置配置为"成功",则每次用户成功访问具有指定 SACL 的对象时,都生成审核项。 如果此策略设置配置为"失败",则每次用户尝试访问具有指定 SACL 的对象失败时,将生成审核条目。

注册表

此子类别报告何时访问注册表对象。 只有具有 S ACL 的注册表对象才会导致生成审核事件,并且仅在以与 SACL 条目匹配的方式访问它们时生成。 此策略设置本身不会导致审核任何事件。

内核对象

此子类别报告何时访问内核对象(如进程和互斥)。 只有具有 S ACL 的内核对象才能生成审核事件,并且仅在以与 SACL 条目匹配的方式访问这些对象时生成。 通常,只有在启用了 AuditBaseObjects 或 AuditBaseDirectories 审核选项时,才向内核对象提供 S ACL。

SAM

此子类别报告访问本地安全帐户管理器 (SAM) 数据库对象时。

认证服务

此子类别报告何时执行证书服务操作。

生成的应用程序

此子类别报告应用程序尝试使用 Windows 应用程序编程接口生成审核事件时 (API) 。

句柄操作

此子类别报告打开或关闭对象的句柄时。 只有具有 SCL 的对象才能生成这些事件,并且仅在尝试的句柄操作与 SACL 条目匹配时生成。 仅针对启用了相应对象访问子类别的对象类型(例如文件系统或注册表 (生成句柄操作) 。

文件共享

此子类别报告何时访问文件共享。 此策略设置本身不会导致审核任何事件。 它确定是否审核访问具有指定系统访问控制列表的文件共享对象的用户的事件 (SACL) ,从而有效地启用审核。

筛选平台数据包丢弃

此子类别报告 WFP 的筛选平台Windows丢弃 (数据包) 。 这些事件的量可能非常高。

筛选平台连接

此子类别报告 WFP 允许或阻止连接时。 这些事件的量可能很高。

其他对象访问事件

此子类别报告其他与对象访问相关的事件,任务计划程序作业和 COM+ 对象。

系统

安全状态更改

此子类别报告系统安全状态的变化,例如安全子系统启动和停止的时间。

安全系统扩展

此子类别报告安全子系统加载扩展代码(如身份验证包)。

系统完整性

此子类别报告安全子系统的完整性冲突。

IPsec 驱动程序

此子类别报告 IPsec 驱动程序的 Internet 协议 (活动) 活动。

其他系统事件

此子类别报告其他系统事件。

有关子类别说明详细信息,请参阅 Microsoft 安全合规性管理器工具

每个组织都应查看前面涵盖的类别和子类别,并启用最适合其环境的类别和子类别。 在生产环境中部署之前,应始终测试对审核策略的更改。

配置Windows策略

Windows策略、组策略、auditpol.exe API 或注册表编辑来设置审核策略。 为大多数公司配置审核策略的建议方法是组策略或auditpol.exe。 设置系统的审核策略需要管理员级别的帐户权限或相应的委托权限。

注意

必须将 管理 审核和安全日志权限授予安全主体 (管理员默认拥有该权限) 以允许修改单个资源(如文件、Active Directory 对象和注册表项)的对象访问审核选项。

使用 Windows 设置审核策略组策略

若要使用组策略设置审核策略,请配置位于计算机配置\Windows 设置\Security 设置\Local Policies\Audit Policy (下的适当审核类别 (请参阅以下屏幕截图,了解 本地组策略编辑器 (gpedit.msc) ) 中的示例。 可以针对"成功"、"失败"或"成功"和"失败"事件启用每个审核策略类别。

monitoring AD

可以使用 Active Directory 或本地组策略设置高级审核策略。 若要设置高级审核策略,请配置计算机配置\Windows 设置\Security 设置\Advanced Audit Policy (下的适当子类别 (请参阅以下屏幕截图,了解 本地组策略编辑器 (gpedit.msc) ) 中的示例。 可以针对"成功"、"失败""成功"和"失败"事件启用每个审核策略子类别。

Screenshot that shows an example from the Local Group Policy Editor (gpedit.msc).

使用 Windows 设置审核Auditpol.exe

Auditpol.exe (Windows Server 2008) Vista 中引入了Windows策略策略Windows设置。 最初,auditpol.exe只能用于设置高级审核策略,但 组策略 可用于 Windows Server 2012、Windows Server 2008 R2 或 Windows Server 2008、Windows 8 和 Windows 7。

Auditpol.exe是一个命令行实用工具。 语法如下:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe 语法示例:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

注意

Auditpol.exe 在本地设置高级审核策略。 如果本地策略与 Active Directory 或本地组策略发生冲突,组策略设置通常优先于 auditpol.exe 设置。 当存在多个组或本地策略冲突时,将只 (一个策略,即替换) 。 审核策略将不会合并。

脚本 Auditpol

Microsoft 为想要设置高级审核策略的管理员提供了一个 示例脚本 ,而不是在每个 auditpol.exe 命令中手动键入。

注意 组策略不会始终准确报告所有启用的审核策略的状态,而 auditpol.exe 会。 有关更多详细信息,请参阅获取 Windows 7 和 Windows 2008 R2 中的有效审核策略

其他 Auditpol 命令

Auditpol.exe 可用于保存和还原本地审核策略,以及查看其他审核相关命令。 下面是其他 auditpol 命令。

auditpol /clear -用于清除和重置本地审核策略

auditpol /backup /file:<filename> -用于将当前的本地审核策略备份到二进制文件

auditpol /restore /file:<filename> -用于将以前保存的审核策略文件导入到本地审核策略

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> -如果启用此审核策略设置,则会导致系统立即停止 (并停止: C0000244 {Audit Failed} 消息) 如果出于任何原因无法记录安全审核。 通常,当安全审核日志已满并且为安全日志指定的保持方法不会 覆盖事件按天覆盖事件时,将无法记录事件。 通常,它仅由需要更高保障安全日志日志记录的环境启用。 如果启用,则管理员必须密切监视安全日志大小并根据需要轮换日志。 还可以通过修改安全选项 " 审核:如果无法记录安全审核则立即关闭系统 " (默认值为 "已禁用") ,设置为组策略。

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> -此审核策略设置确定是否审核全局系统对象的访问权限。 如果启用此策略,则会导致使用默认的系统访问控制列表 (SACL) 创建系统对象(如互斥体、事件、信号量和 DOS 设备)。 大多数管理员都将审核全局系统对象视为 "干扰",只有在怀疑恶意攻击时才会启用。 只为指定的对象提供 SACL。 如果还启用了审核对象访问审核策略 (或内核对象审核子类别) ,则会审核对这些系统对象的访问权限。 配置此安全设置时,在重新启动 Windows 之前,更改不会生效。 还可以通过修改安全选项 "审核全局系统对象的访问权限 (默认值 = 已禁用) ,将此策略设置为组策略。

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> -此审核策略设置指定已命名的内核对象 (例如,在创建这些对象时将向其提供 Sacl) 。 AuditBaseDirectories 会影响容器对象,而 AuditBaseObjects 会影响不能包含其他对象的对象。

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> -此审核策略设置指定在将一个或多个这些权限分配给用户安全令牌时,客户端是否生成事件: AssignPrimaryTokenPrivilege、AuditPrivilege、BackupPrivilege、CreateTokenPrivilege、DebugPrivilege、EnableDelegationPrivilege、ImpersonatePrivilege、LoadDriverPrivilege、RestorePrivilege、SecurityPrivilege、SystemEnvironmentPrivilege、TakeOwnershipPrivilege 和 TcbPrivilege。 如果未启用此选项 (默认值为 "禁用") ,则不会记录 BackupPrivilege 和 RestorePrivilege 特权。 启用此选项会使安全日志极有干扰, (有时在备份操作期间有几百个事件) 。 还可以通过修改安全选项 " 审核:审核备份和还原的使用权限" 来设置此策略组策略。

注意

此处提供的某些信息是从 Microsoft 审核选项类型 和 microsoft SCM 工具获取的。

强制执行传统审核或高级审核

在 Windows Server 2012 中,Windows server 2008 R2、Windows server 2008、Windows 8、Windows 7 和 Windows Vista,管理员可以选择启用9个传统类别或使用子类别。 这是一个二进制选择,必须在每个 Windows 系统中进行。 主类别可以是 "已启用" 或 "子类别",不能同时启用。

若要防止旧的传统类别策略覆盖审核策略子类别,你必须启用 "强制审核策略子类别设置" (Windows Vista 或更高版本) "覆盖位于"计算机配置 \ Windows 设置 \Security 设置 \Local"策略设置下的" 审核策略类别设置 "策略设置。

建议启用并配置子类别,而不是九个主要类别。 这要求启用组策略设置 (为允许子类别重写审核类别) 以及配置支持审核策略的不同子类别。

可以使用多种方法(包括组策略和命令行程序 auditpol.exe)配置审核子类别。

后续步骤