高级安全审核常见问题
面向 IT 专业人员的本主题列出了有关了解、部署和管理安全审核策略的问题和解答。
什么是 Windows 安全审核?我为什么要使用它?
本地策略\审核策略中的审核策略与高级审核策略配置中的审核策略有什么区别?
基本审核策略设置和高级审核策略设置之间有什么相互作用?
组策略如何合并审核设置?
对象 DACL 与对象 SACL 之间有什么区别?
为什么基于每台计算机而不是每个用户应用审核策略?
两个 Windows 版本的审核功能有什么区别?
我可以从运行 Windows Server 2003 或 Windows 2000 Server 的域控制器使用高级审核策略吗?
成功和失败事件之间的区别是什么?我为什么会收到失败审核?
我如何设置审核策略才能影响计算机上的所有对象?
我如何才能弄清楚为什么有些人可以访问资源?
我如何才能了解控制设置访问的更改时间、更改人以及更改内容?
我如何才能将安全审核策略从高级审核策略回退到基本审核策略?
我如何才能监视是否对审核策略设置做了更改?
我如何才能将生成的事件数降至最少?
对审核策略进行建模和管理的最佳工具是什么?
我在哪里可以找到所有可能接收到的事件的相关信息?
我在哪里可以找到更多详细信息?
什么是 Windows 安全审核?我为什么要使用它?
安全审核是一种系统性的检查,用来审核可能影响系统安全性的活动。在 Windows 操作系统中,安全审核的定义比较狭义,指支持管理员记录和审查与安全性相关的指定活动事件的功能和服务。
当 Windows 操作系统以及其上运行的应用程序执行其任务时,将发生数百个事件。通过监视这些事件,可以向管理员提供有价值的信息,帮助他们进行故障排除并调查与安全性相关的活动。
本地策略\审核策略中的审核策略与高级审核策略配置中的审核策略有什么区别?
“安全设置\本地策略\审核策略”中的基本安全审核策略设置与“安全设置\高级审核策略配置\系统审核策略”****中的高级安全审核策略设置将重叠,但是它们的记录和应用方法不同。当你使用本地安全策略管理单元 (secpol.msc) 向本地计算机应用基本审核策略设置时,你需要编辑有效的审核策略,这样所显示的基本审核策略设置更改就会与 Auditpol.exe 中的配置完全一致。
这两个位置处的安全审核策略设置之间有许多其他不同。
“安全设置\本地策略\审核策略”下有九个基本审核策略设置,“高级审核策略配置”****下也有若干设置。“安全设置\高级审核策略配置”中提供的设置用来解决与“本地策略\审核策略”****中的九个基本设置类似的问题,但是它们允许管理员更灵活地选择要审核事件的数量和类型。例如,基本审核策略提供单个用于帐户登录的设置,而高级审核策略提供四个设置。启用单个基本帐户登录设置等同于设置所有这四个高级帐户登录设置。相比下,设置单个高级审核策略设置只对感兴趣的跟踪活动生成审核事件。
此外,如果为“审核帐户登录事件”设置启用成功审核,那么仅记录所有与帐户登录相关的行为的成功事件。相比下,根据组织的不同需要,你可以为一个高级帐户登录设置配置成功审核,为第二个高级帐户登录设置配置失败审核,为第三个高级帐户登录设置配置成功和失败审核,也可以不配置审核。
“安全设置\本地策略\审核策略”****下的九个基本设置已在 Windows 2000 中引入。因此,它们可以用在此后发布的所有 Windows 版本中。高级审核策略设置已在 Windows Vista 和 Windows Server 2008 中引入。高级设置仅可在运行 Windows 7、Windows Server 2008 及更高版本的计算机上使用。
基本审核策略设置和高级审核策略设置之间有什么相互作用?
基本审核策略设置与使用组策略应用的高级审核策略设置不兼容。使用组策略应用高级审核策略设置时,在应用最终的高级审核策略设置之前,必须清除当前计算机的审核策略设置。使用组策略应用高级审核策略设置后,只可使用高级审核策略设置为计算机可靠地设置系统审核策略。
通过在本地安全策略中编辑并应用高级审核策略设置以修改本地组策略对象 (GPO),所以如果有来自于其他域 GPO 或登录脚本的策略,那么此处所做的更改可能不会完全反映在 Auditpol.exe 中。这两类策略都可以通过使用域 GPO 来编辑和应用,而且这些设置将覆盖任何冲突的本地审核策略设置。但是,由于基本审核策略将记录在有效审核策略中,所以需要更改时,该审核策略必须显式删除,否则它将保留在有效审核策略中。只要应用新策略,使用本地或域组策略设置应用的策略更改就会反映出来。
要点
无论是使用组策略应用高级审核策略还是使用登录脚本来应用,既不要使用“本地策略\审核策略”下的基本审核策略设置,也不要使用“安全设置\高级审核策略配置”****下的高级设置。同时使用高级和基本审核策略设置会使审核报告中出现意外的结果。
如果使用高级审核策略配置设置或使用登录脚本应用高级审核策略,请务必启用“本地策略\安全选项”下的“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”****。这将强行忽略基本安全审核,从而防止相似设置之间出现冲突。
组策略如何合并审核设置?
默认情况下,在 GPO 中设置并链接到更高级别的 Active Directory 站点、域和 OU 的策略选项将由较低级别的所有 OU 继承。但是,继承的策略可以由在较低级别时链接的 GPO 覆盖。
例如,你可能使用某个域 GPO 分配整个组织内的一组审核设置,但是只希望某些 OU 获取一组定义的其他设置。若要实现此目的,你可以将第二个 GPO 链接到这一特定的较低级别的 OU。因此,在 OU 级别应用的登录审核设置会覆盖在域级别应用的冲突登录审核设置,除非你已采取特殊步骤来应用组策略环回处理。
控制组策略设置应用方式的规则已传播到审核策略设置的子类别级别。这意味着,如果不存在较低级别时配置的策略设置,则将合并不同 GPO 中配置的审核策略设置。下表阐释了该行为。
| 审核子类别 | 在 OU GPO 中配置的设置(较高的优先级) | 在域 GPO 中配置的设置(较低的优先级) | 为目标计算机生成的策略 |
|---|---|---|---|
详细的文件共享审核 |
成功 |
失败 |
成功 |
进程创建审核 |
已禁用 |
成功 |
已禁用 |
登录审核 |
成功 |
失败 |
失败 |
对象 DACL 与对象 SACL 之间有什么区别?
Active Directory 域服务 (AD DS) 中的所有对象以及本地计算机或网络上的所有安全对象都具有安全描述符,可帮助控制对象访问。安全描述符包含有关对象所有者、它的访问对象和访问方式以及审核的访问类型的信息。安全描述符包含对象的访问控制列表 (ACL),其中含有应用到该对象的所有安全权限。对象的安全描述符可以包含两种类型的 ACL:
随机访问控制列表 (DACL) 用来识别允许或拒绝访问的用户和组
系统访问控制列表 (SACL) 用来控制访问的审核方式
Windows 中使用的访问控制模型通过向对象设置不同的访问级别或权限在对象级别进行管理。如果为对象配置了权限,其安全描述符将包含一个 DACL,它具有允许或拒绝访问的用户和组的安全标识符 (SID)。
如果为对象配置了审核,其安全描述符还包含一个 SACL,用来控制安全子系统审核尝试访问对象的方式。但是,除非为对象配置了 SACL,并且配置和应用了相应的“对象访问”审核策略设置,否则审核不会完全配置。
为什么基于每台计算机而不是每个用户应用审核策略?
在 Windows 中的安全审核中,计算机、计算机上的对象以及相关资源是客户端的主要操作接收方,其中包括应用程序、其他计算机和用户。有安全隐患时,恶意用户可以使用备用凭据来隐藏他们的身份,此外恶意应用程序还可以冒充合法用户执行本来无权执行的任务。因此,应用审核策略的最常见方式是关注计算机以及该计算机上的对象和资源。
此外,由于审核策略功能随着运行不同 Windows 版本的计算机的不同而变化,确保审核策略正确应用的最佳方式是基于计算机上的这些设置,而非用户的设置。
但是,如果你希望审核设置仅适用于指定用户组,你可以通过在相关对象上配置 SACL 来完成此操作,从而支持对仅包含指定用户的安全组进行审核。例如,你可以为记帐服务器 1 上名为“工资单数据”的文件夹配置 SACL。这可以审核“工资单处理器 OU”的成员从此文件夹删除对象的尝试。“对象访问\审核文件系统”****审核策略设置适用于记帐服务器 1,但是因为它需要相应的资源 SACL,所以只有“工资单数据”文件夹上的“工资单处理器 OU”的成员才能生成审核事件。
两个 Windows 版本的审核功能有什么区别?
自 Windows 2000 开始,基本审核策略设置在所有版本的 Windows 中都可用,它们可以本地应用,也可以通过使用组策略应用。高级审核策略设置已在 Windows Vista 和 Windows Server 2008 中引入,但是在这些版本中它们只能通过使用登录脚本来应用。高级审核策略设置已在 Windows 7 和 Windows Server 2008 R2 中引入,它们可以通过使用本地和域组策略设置进行配置和应用。
我可以从运行 Windows Server 2003 或 Windows 2000 Server 的域控制器使用高级审核策略吗?
若要使用高级审核策略设置,必须在运行 Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008 或带有 Service Pack 2 (SP2) 的 Windows Server 2003 计算机上安装域控制器。不支持 Windows 2000 Server。
成功和失败事件之间的区别是什么?我为什么会收到失败审核?
当定义的操作(例如:访问文件共享)成功完成时,将触发成功审核事件。
当定义的操作(例如:用户登录)未成功完成时,将触发失败审核事件。
事件日志中出现失败审核事件不一定代表你的系统存在问题。例如,如果你配置审核登录事件,那么失败事件可能只意味着用户错误地输入了其密码。
我如何设置审核策略才能影响计算机上的所有对象?
系统管理员和审核方越来越希望验证审核策略是否已应用到系统上的所有对象。这很难完成,因为管理审核的系统访问控制列表 (SACL) 是根据每个对象应用的。因此,若要验证审核策略是否已应用到所有对象,你必须检查每个对象以确保并未做任何更改(即使是临时更改为单个 SACL)。
安全审核已在 Windows Server 2008 R2 和 Windows 7 中引入,它允许管理员为整个文件系统或计算机上的注册表定义全局对象访问审核策略。指定的 SACL 随后将自动应用到所有这类对象。这对于验证所有关键文件、文件夹和注册表设置在计算机上是否受保护以及识别何时发生系统资源问题时很有用处。如果在计算机上配置了文件或文件夹 SACL 以及全局对象访问审核策略设置(或单一注册表设置 SACL 和全局对象访问审核策略设置),通过合并文件或文件夹 SACL 以及全局对象访问审核策略即可派生出有效 SACL。这意味着如果某个活动与文件或文件夹 SACL 或者全局对象访问审核策略匹配,就会生成审核事件。
我如何才能弄清楚为什么有些人可以访问资源?
只了解文件或文件夹之类的对象是否成功通常还不够。你还可能想要知道用户能够访问该资源的原因。你可以通过配置带有“审核文件系统”或“审核注册表”****审核设置的“审核句柄操作”设置来获取该详细数据。
我如何才能了解控制设置访问的更改时间、更改人以及更改内容?
若要跟踪运行 Windows Server 2016 Technical Preview、Windows Server 2012 R2、Windows Server 2012、Windows 7、Windows Server 2008 R2、Windows Vista 或 Windows Server 2008 的计算机上的访问控制更改,你需要启用以下跟踪 DACL 更改的设置:
“审核文件系统”****子类别:启用成功、失败或成功和失败
“审核授权策略更改”设置:启用成功、失败或成功和失败
具有“编写”****和“取得所有权”权限的 SACL:适用于你想要监视的对象
在 Windows XP 和 Windows Server 2003 中,需要使用“审核策略更改”****子类别。
我如何才能将安全审核策略从高级审核策略回退到基本审核策略?
应用高级审核策略设置将替换任何相当的基本安全审核策略设置。如果随后将高级审核策略设置更改为“未配置”,需要完成以下步骤来还原最初的基本安全审核策略设置:
将所有高级审核策略子类别设置为“未配置”****。
从域控制器上的 %SYSVOL% 文件夹删除所有 audit.csv 文件。
重新配置并应用基本审核策略设置。
必须完成所有这些步骤,才能还原基本审核策略设置。
我如何才能监视是否对审核策略设置做了更改?
安全审核策略的更改是重要的安全事件。发生以下类型的活动时,可以使用“审核审核策略更改”设置来确定操作系统是否会生成审核事件:
审核策略对象上的权限和审核设置将更改
系统审核策略将更改
安全事件源将注册或注销
每个用户的审核设置将更改
CrashOnAuditFail 的值将修改
文件或注册表项上的审核设置将更改
特殊组列表将更改
我如何才能将生成的事件数降至最少?
想要在审核足够多的网络和计算机活动与审核过少的网络和计算机活动之间找到平衡是一项具有挑战的任务。可以通过标识最重要的资源、关键活动和用户或用户组来达到此平衡。然后设计面向这些资源、活动和用户的安全审核策略。有关开发有效安全审核策略的有用指南和建议,可以在规划和部署高级安全审核策略中找到。
对审核策略进行建模和管理的最佳工具是什么?
高级审核策略设置与域组策略的集成已经引入到 Windows 7 和 Windows Server 2008 R2 中,它旨在简化组织网络中安全审核策略的管理和实现。因此,计划和部署域组策略对象的工具还可用来计划和部署安全审核策略。
在个别计算机上,可以使用 Auditpol 命令行工具完成大量与审核策略相关的重要管理任务。
此外,还可以使用大量计算机管理产品来收集和筛选事件数据,比如:Microsoft System Center Operations Manager 产品中的审核收集服务。
我在哪里可以找到所有可能接收到的事件的相关信息?
第一次检查安全事件日志时,用户在看到存储的审核事件数目(数目可能快速达到成千上万)以及每个审核事件包含的结构信息时,可能会有点不知所措。有关这些事件以及用于生成它们的设置的其他信息,可以从以下资源获取:
我在哪里可以找到更多详细信息?
若要了解有关安全审核策略的详细信息,请参阅以下资源: