高级安全审核常见问题

什么是Windows审核?为什么我想要使用它?

安全审核是一种有条不理地检查和审查可能影响系统安全性的活动。 在Windows中,安全审核是管理员用于记录并查看指定安全相关活动的事件的功能和服务。

数百个事件Windows操作系统及其上运行的应用程序执行其任务。 监视这些事件可提供有价值的信息,以帮助管理员排查和调查与安全相关的活动。

位于"本地策略\\审核策略"中的审核策略与位于"高级审核策略配置"中的审核策略之间有什么区别?

Security设置\Local Policies\Audit Policy中的基本安全审核策略设置和Security 设置\Advanced Audit Policy Configuration\System Audit Policies中的高级安全审核策略设置似乎重叠,但记录和应用方式不同。 使用本地安全策略管理单元 (secpol.msc) 将基本审核策略设置应用于本地计算机时,将编辑有效的审核策略,因此对基本审核策略设置所做的更改将完全按照 Auditpol.exe 中的配置显示。

这两个位置的安全审核策略设置之间存在一些其他差异。

高级审核 设置策略配置 下的安全策略**\本地策略\审核策略和设置下有九个基本审核策略设置**。 Security设置\Advanced Audit Policy Configuration中提供的设置解决了与本地策略**\Audit Policy**中的九个基本设置类似的问题,但它们允许管理员在要审核的事件的数量和类型上更具选择性。 例如,基本审核策略为帐户登录提供单个设置,高级审核策略提供四个设置。 启用单个基本帐户登录设置等效于设置所有四个高级帐户登录设置。 相比之下,设置单个高级审核策略设置不会为不需要跟踪的活动生成审核事件。

此外,如果对基本审核帐户登录事件设置启用**** 成功审核,则只会记录所有帐户登录相关行为的成功事件。 相比之下,根据组织的需要,您可以为一个高级帐户登录设置配置成功审核、第二个高级帐户登录设置的失败审核、第三个高级帐户登录设置的成功和失败审核,或者不配置审核。

Security设置\Local Policies\Audit Policy下的九个基本设置在 Windows 2000 年引入。 因此,这些版本可用于自Windows发布的所有版本。 高级审核策略设置在 WindowsVista 和 Windows Server2008 中引入。 高级设置只能在运行 Windows7、Windows Server 2008 及更高版本的计算机上使用。

基本审核策略设置和高级审核策略设置之间的交互是什么?

基本审核策略设置与使用组策略应用的高级审核策略设置不兼容。 使用组策略应用高级审核策略设置时,在应用生成的高级审核策略设置之前,将清除当前计算机的审核策略设置。 使用组策略应用高级审核策略设置后,只能使用高级审核策略设置可靠地为计算机设置系统审核策略。

在本地安全策略中编辑和应用高级审核策略设置会修改本地组策略对象 (GPO) ,因此,如果存在来自其他域 GPO 或登录脚本的策略,则此处所做的更改可能不会完全反映在 Auditpol.exe 中。 这两种类型的策略都可以使用域 GPO 进行编辑和应用,并且这些设置将覆盖任何冲突的本地审核策略设置。 但是,由于基本审核策略记录在有效的审核策略中,因此当需要更改时,必须显式删除该审核策略,否则该审核策略将保留在有效的审核策略中。 使用本地或域组策略设置应用的策略更改在应用新策略后即会反映出来。

重要 无论是使用组策略还是使用登录脚本应用高级审核策略,都不要同时使用"本地策略**\审核策略"下的基本审核策略设置和安全设置\Advanced Audit Policy Configuration**下的高级设置。 同时使用高级和基本审核策略设置可能导致审核报告出现意外结果。

如果使用高级审核策略配置设置或使用登录脚本应用高级审核策略,请确保启用"审核:强制审核策略"子类别设置** (Windows Vista或更高版本) 以覆盖"本地策略\**安全选项"下的审核策略类别设置策略设置。 此设置通过强制忽略基本安全审核来防止类似设置之间发生冲突。  

组策略如何合并审核设置?

默认情况下,在 GPO 中设置并链接到更高级别的 Active Directory 站点、域和 US 的策略选项由较低级别的所有 OUS 继承。 但是,继承的策略可以通过在较低级别链接的 GPO 覆盖。

例如,可以使用域 GPO 分配组织范围内的一组审核设置,但希望特定 OU 获取定义的一组额外设置。 若要完成此自定义,可以将第二个 GPO 链接到该特定较低级别的 OU。 因此,在 OU 级别应用的登录审核设置将覆盖在域级别 (应用的冲突登录审核设置,除非您已采取特殊步骤将组策略环回处理) 。

控制如何应用组策略设置的规则将传播到审核策略设置的子类别级别。 此范围意味着,如果不存在在较低级别配置的策略设置,将合并在不同 GPO 中配置的审核策略设置。 下表说明了此行为。

审核子类别 OU GPO 中配置的设置 (优先级更高) 域 GPO 中配置的设置 (优先级较低的) 目标计算机的结果策略
详细的文件共享审核 成功 失败 成功
进程创建审核 禁用 成功 禁用
登录审核 失败 成功 失败

对象 DACL 和对象 SACL 之间有什么区别?

ActiveDirectory 域服务 (ADDS) 中所有对象以及本地计算机或网络上的所有安全对象都有安全描述符,以帮助控制对对象的访问。 安全描述符包括有关谁拥有对象、谁可以访问它以及以什么方式访问以及审核哪些类型的访问的信息。 安全描述符包含访问控制列表 (ACL) 对象,其中包括适用于该对象的所有安全权限。 对象的安全描述符可以包含两种类型的 ACL:

  • DACL (一个) 访问控制列表,用于标识允许或拒绝访问的用户和组
  • 用于控制访问审核 (SACL) 的系统访问控制列表

在对象级别中使用的访问控制Windows通过设置对象的不同访问级别或权限来管理对象级别。 如果为对象配置了权限,则其安全描述符包含一个 DACL,其中包含允许或拒绝访问的用户 () 的 DACL 安全标识符为 SID。

如果为对象配置了审核,则其安全描述符还包含一个 SACL,用于控制安全子系统审核尝试访问该对象的方式。 但是,除非为对象配置了 SACL,并且配置并应用了相应的对象访问审核策略设置,**** 否则不会完全配置审核。

为什么基于每台计算机而不是按用户应用审核策略?

在安全审核Windows,计算机、计算机上的对象和相关资源是客户端(包括应用程序、其他计算机和用户)操作的主要收件人。 在安全漏洞中,恶意用户可以使用备用凭据来隐藏其身份,或者恶意应用程序可以模拟合法用户来执行不合法的任务。 因此,应用审核策略的最一致方法就是专注于计算机以及该计算机上的对象和资源。

此外,由于运行不同 Windows 版本的计算机之间的审核策略功能可能会有所不同,因此确保正确应用审核策略的最好办法就是将这些设置基于计算机而不是用户。

但是,当您希望审核设置仅应用于指定的用户组时,您可以通过在相关对象上配置 SACLs 来为仅包含您指定的用户的安全组启用审核,以完成此自定义。 例如,您可以为 Accounting Server 1 上名为 Payroll Data 的文件夹配置 SACL。 此配置会导致对工资单处理器 OU 的成员从此文件夹中删除对象的尝试进行审核。 Object Access\Audit File System 审核策略设置适用于 Accounting Server 1,但由于它要求相应的资源 SACL,因此只有 Payroll Data 文件夹上工资单处理器 OU 的成员的操作会生成审核事件。

不同版本的应用程序之间的审核功能Windows?

自 Windows 2000 Windows以来,基本审核策略设置Windows所有版本均可用,并且这些设置可本地应用,也可使用组策略应用。 Vista 和 Windows Server 2008 Windows引入了高级审核策略设置,但这些设置只能使用这些版本中的登录脚本应用。 可以使用本地和域组策略设置配置和应用 Windows7 和 Windows Server2008R2 中引入的高级审核策略设置。

能否从运行 Windows Server 2003 或 Windows 2000 Server 的域控制器使用高级审核策略?

若要使用高级审核策略设置,域控制器必须安装在运行 Windows Server 2012 R2、Windows Server 2012、Windows Server2008R2、Windows Server 2008 或 Windows Server 2003 Service Pack 2 (SP2) 的计算机上。 Windows 2000 Server 不受支持。

成功和失败事件之间有什么区别? 如果我收到失败审核,是否出错?

成功完成定义的操作(如访问文件共享)后,将触发成功审核事件。

未成功完成定义的操作(如用户登录)时,将触发失败审核事件。

事件日志中的失败审核事件的外观并不一定表示您的系统有问题。 例如,如果您配置审核登录事件,则失败事件可能意味着用户键入的密码错误。

如何设置影响计算机上所有对象的审核策略?

系统管理员和审核员越来越希望验证审核策略是否适用于系统上的所有对象。 此要求很难实现,因为系统访问控制列表 (用于) 审核的 SAC 列表基于每个对象应用。 因此,要验证审核策略已应用于所有对象,必须检查每个对象,以确保没有做出任何更改,甚至暂时未对单个 SACL 进行更改。 安全审核在 Windows Server2008R2 和 Windows7 中引入,允许管理员为整个文件系统或计算机上注册表定义全局对象访问审核策略。 然后,将指定的 SACL 自动应用于该类型的每个对象。 这种 SACL 应用程序可用于验证计算机上的所有关键文件、文件夹和注册表设置是否受到保护,以及确定何时出现系统资源问题。 如果在计算机上配置了文件或文件夹 SACL 和全局对象访问审核策略 (或单个注册表设置 SACL 和全局对象访问审核策略) ,则有效 SACL 派生自文件或文件夹 SACL 与全局对象访问审核策略组合。 组合生成的 SACL 意味着,如果活动与文件或文件夹 SACL 或全局对象访问审核策略匹配,则生成审核事件。

如何确定为什么某人可以访问某个资源?

通常,仅知道已访问文件或文件夹等对象是不够的。 您可能还想知道用户为何能够访问此资源。 可以通过使用审核文件系统或审核注册表审核设置配置**** 审核处理操作设置来获取此取证数据。 ****

我如何知道何时对访问控制设置进行更改、由谁进行更改以及更改是什么?

若要跟踪运行 Windows Server2016、Windows Server 2012 R2、Windows Server 2012 Windows7、Windows Server2008R2、Windows Vista 或 Windows Server 2008 的计算机上访问控制的更改,您需要启用以下设置,以跟踪对 DACLs 的更改:

  • 审核文件系统 子类别:启用成功、失败或成功和失败
  • 审核授权策略更改 设置:启用成功、失败或成功和失败
  • 具有" 写入"和 " 获得 所有权"权限的 SACL:应用于要监视的对象

在 Windows XP 和 Windows Server2003 中,您需要使用审核策略更改子类别。

如何将安全审核策略从高级审核策略回滚到基本审核策略?

应用高级审核策略设置将替换任何可比较的基本安全审核策略设置。 如果稍后将高级审核策略设置更改为"未**** 配置",则需要完成以下步骤来还原原始的基本安全审核策略设置:

  1. 将"所有高级审核策略"子类别设置为 "未配置"。
  2. 从域控制器audit.csv %SYSVOL% 文件夹中删除所有文件。
  3. 重新配置和应用基本审核策略设置。

除非您完成上述所有步骤,否则不会还原基本审核策略设置。

如何监视是否对审核策略设置进行了更改?

对安全审核策略的更改是关键安全事件。 可以使用审核 审核策略更改 设置来确定操作系统在下列类型的活动发生时是否生成审核事件:

  • 更改审核策略对象的权限和审核设置
  • 系统审核策略已更改
  • 已注册或未注册安全事件源
  • 更改每用户审核设置
  • 修改 CrashOnAuditFail 的值
  • 更改文件或注册表项上的审核设置
  • "特殊组"列表已更改

如何最大程度地减少生成的事件数?

在审核足够的网络和计算机活动与审核过少的网络和计算机活动之间找到正确的平衡可能非常困难。 通过确定最重要的资源、关键活动以及用户或用户组,可以实现此平衡。 然后,设计面向这些资源、活动和用户的安全审核策略。 有关制定有效的安全审核策略的有用指南和建议,可在规划和部署高级安全 审核策略中找到

建模和管理审核策略的最佳工具是什么?

Windows7 和 Windows Server2008R2 中引入的高级审核策略设置与域组策略的集成旨在简化组织网络中安全审核策略的管理和实施。 因此,用于为域计划和部署组策略对象的工具还可用于计划和部署安全审核策略。 在单台计算机中,Auditpol 命令行工具可用于完成许多与审核策略相关的重要管理任务。

此外,还有一些计算机管理产品,如 Microsoft System Center Operations Manager 产品中的审核收集服务,可用于收集和筛选事件数据。

在哪里可以找到有关我可能接收的所有可能的事件的信息?

第一次检查安全事件日志的用户可能会因存储在 (中存储的审核事件数以及每个审核事件包含的结构化信息而感到有点不知所措) 数可能会迅速增加。 有关这些事件以及用于生成这些事件的设置的其他信息,可以从以下资源获取:

在哪里可以找到更详细的信息?