高级审核策略配置

2025-05-30
适用于: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

高级审核策略配置设置位于组策略中的 计算机配置\Windows 设置\安全设置\高级审核策略配置\系统审核策略 下。组织可以通过这些设置来监视是否符合关键业务和安全要求，通过跟踪特定活动，例如：

组管理员对包含敏感信息（例如财务服务器）的服务器上的设置或数据所做的修改。
由指定组中的员工访问关键文件。
将正确的系统访问控制列表（SACL）应用于计算机或文件共享上的所有文件、文件夹或注册表项，从而提供可验证的安全措施，防止未经授权的访问。

可以通过本地计算机上的本地安全策略管理单元（secpol.msc）或使用组策略访问这些审核策略设置。

这些高级审核策略设置提供对哪些活动进行监视的精细控制，使你能够专注于与组织最相关的事件。可以排除对不重要的操作或生成不必要日志量的操作的审核。此外，由于这些策略可以通过域组策略对象进行管理，因此你可以根据需要轻松地修改、测试和部署审核配置。

高级审核策略配置如下所示：

帐户登录

在此类别中配置策略设置有助于记录尝试对域控制器或本地安全帐户管理器（SAM）上的帐户数据进行身份验证。与登录和注销策略设置和事件不同，这些设置和事件跟踪访问特定计算机的尝试，此类别中的设置和事件侧重于所使用的帐户数据库。此类别包括以下子类别：

扩展审核凭证验证策略

审核凭据验证策略确定 OS （OS）是否针对为用户帐户登录请求提交的凭据生成审核事件。这些事件发生在对凭据具有权威性的计算机上，如下所示：

对于域帐户，域控制器是权威的。
对于本地帐户，本地计算机是权威的。

由于域帐户比企业环境中的本地帐户更频繁地使用，因此域环境中的大多数帐户登录事件发生在对域帐户具有权威性的域控制器上。但是，这些事件可以在任何计算机上发生，并且它们可能在独立于登录和注销事件的计算机上发生。

事件编号	事件消息
4774	已出于登录目的映射帐户。
4775	无法映射帐户进行登录。
4776	域控制器试图验证帐户的凭据。
4777	域控制器未能验证帐户的凭据。

在域控制器上，事件量为高。
客户端版本默认值： 无审核。
服务器版的默认设置：成功。

扩展审核 Kerberos 身份验证服务策略

审核 Kerberos 身份验证服务策略控制是否在请求 Kerberos 身份验证票证授予票据（TGT）时生成审核事件。 启用此设置后，它可帮助管理员监视 Kerberos 登录活动，并检测与身份验证请求相关的潜在安全问题。

如果配置此策略设置，则会在 Kerberos 身份验证 TGT 请求后生成审核事件。成功审计记录成功尝试，失败审计记录失败尝试。

事件编号	事件消息
4768	请求了 Kerberos 身份验证票证 (TGT)。
4771	Kerberos 预身份验证失败。
4772	Kerberos 身份验证票证请求失败。

事件量：Kerberos 密钥分发中心服务器上的高。
客户端版本默认值： 无审核。
服务器版的默认设置：成功。

展开审核 Kerberos 服务票证操作策略

审核 Kerberos 服务票证操作策略控制请求或续订 Kerberos 服务票证时，操作系统是否记录安全审核事件。启用此设置有助于管理员监视和跟踪环境中的 Kerberos 身份验证活动。

每次使用 Kerberos 对想要访问受保护网络资源的用户进行身份验证时都会生成事件。 Kerberos 服务票证的审核事件可用于跟踪用户活动。

事件编号	事件消息
4769	请求了 Kerberos 服务票证。
4770	已续订 Kerberos 服务票证。

事件量：在密钥分发中心（KDC）中的域控制器上很高。 域成员不足 。
默认值： 未配置。

展开“审核其他帐户登录事件”

审核其他帐户登录事件策略会审核因响应那些不是源于标准凭据验证或 Kerberos 票证请求的用户帐户登录请求所触发的事件。示例包括：

启动新的远程桌面会话和会话断开连接时。
锁定和解锁工作站时。
调用或消除屏幕保护程序时。
检测到 Kerberos 重播攻击时，会收到两次具有相同信息的 Kerberos 请求。

注释

这种情况可能会导致网络配置问题。
访问向用户或计算机帐户授予的无线网络或有线 802.1x 网络时

事件编号	事件消息
4649	已检测到重播攻击。
4778	会话已重新连接到窗口工作站。
4779	会话已从窗口工作站断开连接。
4800	工作站已锁定。
4801	工作站已解锁。
4802	调用了屏幕保护程序。
4803	消除了屏幕保护程序。
5378	根据策略，无法允许请求的凭据委派。
5632	请求向无线网络进行身份验证。
5633	请求向有线网络进行身份验证。

默认值： 无审核。

帐户管理

此类别中的安全审核策略设置可用于监视对用户和计算机帐户和组的更改。此类别包括以下子类别：

展开审计应用程序组管理策略

审核应用程序组管理策略控制在执行某些动作时操作系统是否记录审核事件。这些作包括创建、修改或删除应用程序组，以及更改其成员身份。应用程序组管理任务包括：

创建、更改或删除应用程序组。
应用程序组中添加或移除成员。

事件编号	事件消息
4783	已创建基本应用程序组。
4784	更改了基本应用程序组。
4785	向基本应用程序组添加了成员。
4786	已从基本应用程序组中删除了成员。
4787	一个非成员已被添加到基本应用程序组中。
4788	从基本应用程序组中删除了一个非成员。
4789	已删除基本应用程序组。
4790	已创建轻型目录访问协议（LDAP）查询组。

事件量：低。
默认值： 无审核。

展开审核计算机帐户管理策略

审核计算机帐户管理策略控制在 Active Directory 中创建、修改或删除计算机帐户时，OS 是否记录审核事件。启用此策略时，它可帮助管理员监视和跟踪域中计算机帐户的更改。通过监视这些事件，提供了有关安全审核、合规性和故障排除帐户管理活动的重要信息。

事件编号	事件消息
4741	已创建计算机帐户。
4742	更改了计算机帐户。
4743	删除了计算机帐户。

事件量：低。
客户端版本默认值： 无审核。
服务器版的默认设置：成功。

展开审计分发组管理策略

审核分发组管理策略确定 OS 是否为特定的分发组管理任务生成审核事件。此策略所属的此子类别仅记录在域控制器上。可审核的邮件分发组管理任务包括：

创建、更改或删除分发组。
成员被添加到或从通讯组中删除。

注释

分发组不能用于管理访问控制权限。

事件编号	事件消息
4744	创建了已禁用安全性的本地组。
4745	更改了已禁用安全性的本地组。
4746	向已禁用安全性的本地组中添加了成员。
4747	从已禁用安全性的本地组中删除了成员。
4748	删除了已禁用安全性的本地组。
4749	创建了已禁用安全性的全局组。
4750	更改了已禁用安全性的全局组。
4751	向已禁用安全性的全局组中添加了成员。
4752	从已禁用安全性的全局组中删除了成员。
4753	删除了已禁用安全性的全局组。
4759	创建了已禁用安全性的通用组。
4760	更改了已禁用安全性的通用组。
4761	向已禁用安全性的通用组中添加了成员。
4762	从已禁用安全性的通用组中删除了成员。

事件量：低。
默认值： 无审核。

展开“审核其他帐户管理事件”策略

审核其他帐户管理事件策略确定 OS 是否生成用户帐户管理审核事件。可以在以下情况下为用户帐户管理审核生成事件：

帐户的密码哈希已被访问。当 Active Directory 迁移工具（ADMT）移动密码数据时，通常会发生这种情况。
调用密码策略检查应用程序编程接口（API）。对此函数的调用可能是来自恶意应用程序的攻击的一部分，该应用程序正在测试是否应用密码复杂性策略设置。

注释

应用域策略（刷新或重启时），而不是管理员修改设置时记录这些事件。

对域策略所做的更改位于 计算机配置\Windows 设置\安全设置\帐户策略\密码策略 或 计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略下。

事件编号	事件消息
4782	已访问了某个帐户的密码哈希。
4793	调用了密码策略检查 API。

事件量：低。
默认值： 无审核。

扩展审计安全组管理政策

审核安全组管理策略确定 OS 在执行特定安全组管理任务时是否生成审核事件。安全组管理任务包括：

创建、更改或删除安全组。
成员将添加到安全组或从安全组中删除。
组的类型已更改。

安全组可用于访问控制权限，还可以用作分发列表。

事件编号	事件消息
4727	创建了已启用安全性的全局组。
4728	向已启用安全性的全局组中添加了成员。
4729	从已启用安全性的全局组中删除了成员。
4730	删除了已启用安全性的全局组。
4731	创建了已启用安全性的本地组。
4732	向已启用安全性的本地组中添加了成员。
4733	从已启用安全性的本地组中删除了成员。
4734	删除了已启用安全性的本地组。
4735	更改了已启用安全性的本地组。
4737	更改了已启用安全性的全局组。
4754	创建了已启用安全性的通用组。
4755	更改了已启用安全性的通用组。
4756	向已启用安全性的通用组中添加了成员。
4757	从已启用安全性的通用组中删除了成员。
4758	删除了已启用安全性的通用组。
4764	更改了组的类型。

事件量：低。
默认值：成功。

展开审计用户帐户管理

审核用户帐户管理确定 OS 在执行特定用户帐户管理任务时是否生成审核事件。针对用户帐户管理审核的任务包括：

创建、更改、删除、重命名、禁用、启用、锁定或解锁用户帐户。
设置或更改用户帐户密码。
安全标识符（SID）历史记录将添加到用户帐户。
已设置目录服务还原模式密码。
管理员组成员的帐户权限已更改。
备份或还原凭据管理器凭据。

此策略设置对于跟踪涉及预配和管理用户帐户的事件至关重要。

事件编号	事件消息
4720	已创建用户帐户。
4722	启用了用户帐户。
4723	尝试更改帐户的密码。
4724	尝试重置帐户的密码。
4725	禁用了用户帐户。
4726	已删除用户帐户。
4738	更改了用户帐户。
4740	已锁定用户帐户。
4765	已向帐户添加 SID 历史记录。
4766	尝试向帐户添加 SID 历史记录失败。
4767	已解锁用户帐户。
4780	在作为管理员组成员的帐户上设置了 ACL。
4781	帐户的名称已更改。
4794	尝试设置目录服务还原模式。
5376	备份了凭据管理器凭据。
5377	从备份中还原了凭据管理器凭据。

事件量：低。
默认值：成功。

详细跟踪

详细跟踪安全策略设置和审核事件可用于监视该计算机上的单个应用程序和用户的活动，并了解计算机的使用方式。此类别包括以下子类别：

展开审核 DPAPI 活动策略

审核 DPAPI 活动策略确定 OS 在对数据保护应用程序接口（DPAPI）进行加密或解密调用时是否生成审核事件。

DPAPI 用于保护机密信息，例如存储的密码和密钥信息。若要了解详细信息，请参阅 Windows 数据保护。

事件编号	事件消息
4692	已尝试备份数据保护主密钥。
4693	已尝试恢复数据保护主密钥。
4694	已尝试保护可审核的受保护数据。
4695	已尝试解除保护可审核的受保护数据。

事件量：低。

扩展审核 PNP 活动策略

检测到外部即插即用（PnP）设备时， 审核 PNP 活动 策略会进行审核。

事件编号	事件消息
6416	连接新设备或移除现有设备。

事件量：低。

展开审核过程创建策略

审核进程创建策略确定在创建或启动进程时，OS 是否生成审核事件。

这些审核事件可帮助你跟踪用户活动并了解计算机的使用方式。信息包括程序的名称或创建进程的用户。

事件编号	事件消息
4688	已创建新进程。
4696	已向进程分配了一个主令牌。

事件量：因系统使用情况而异。

展开审核进程终止策略

审核进程终止策略确定 OS 在尝试结束进程时是否生成审核事件。

事件编号	事件消息
4689	进程已退出。

事件量：因系统使用情况而异。

展开审核 RPC 事件策略

审核 RPC 事件策略确定 OS 在建立入站远程过程调用（RPC）连接时是否生成审核事件。

RPC 是用于创建分布式客户端/服务器程序的技术。 RPC 是一种进程间通信技术，使客户端和服务器软件能够通信。若要了解详细信息，请参阅远程过程调用（RPC）。

事件编号	事件消息
5712	已尝试进行远程过程调用（RPC）。

事件量：RPC 服务器上的事件量高。
默认值： 无审核。

展开审核令牌权限调整策略

审核令牌权限调整策略会审核通过调整令牌的权限生成的事件。

事件编号	事件消息
4703	已调整用户权限。

事件量：高。
默认值： 无审核。

DS 访问

DS 访问安全审核策略设置提供了有关尝试访问和修改 Active Directory 域服务（AD DS）中的对象的详细审核线索。这些审核事件只记录在域控制器上。此类别包括以下子类别：

细化目录服务复制策略审核

审核详细目录服务复制策略确定 OS 是否生成审核事件，其中包含有关在域控制器之间复制的数据的详细跟踪信息。此审核子类别可用于诊断复制问题。

事件编号	事件消息
4928	已建立 Active Directory 副本源命名上下文。
4929	已删除 Active Directory 副本源命名上下文。
4930	修改了 Active Directory 副本源命名上下文。
4931	修改了 Active Directory 副本目标命名上下文。
4934	已复制 Active Directory 对象的属性。
4935	复制故障开始。
4936	复制故障结束。
4937	已从副本中删除延迟对象。

事件量：高。
默认值： 无审核。

展开目录服务访问审核策略

审核目录服务访问策略确定当访问 Active Directory 域服务（AD DS）对象时，OS 是否生成审核事件。这些事件类似于早期版本的 Windows Server OS 中的目录服务访问事件。

注释

审核事件仅在配置了 SCL 的对象上生成，并且仅当以与 SACL 设置匹配的方式访问它们时。

事件编号	事件消息
4662	在对象上执行了操作。

在域控制器上，事件量为高。客户端计算机上无。
客户端版本默认值： 无审核。
服务器版的默认设置：成功。

展开审核目录服务更改策略

审核目录服务更改策略确定 OS 在对 AD DS 中的对象进行更改时是否生成审核事件。此策略（如果适用）指示已更改对象的更改属性的旧值和新值。报告的更改类型如下：

创建
删除
修改
移动
取消删除

注释

仅针对配置了 SCL 的对象生成审核事件，并且仅当以与 SACL 设置匹配的方式访问它们时。由于架构中对象类的设置，某些对象和属性不会导致生成审核事件。

此子类别仅记录域控制器上的事件。对 Active Directory 对象的更改是跟踪的重要事件，以便了解网络策略的状态。

事件编号	事件消息
5136	修改了目录服务对象。
5137	创建了目录服务对象。
5138	取消删除了目录服务对象。
5139	删除了目录服务对象。
5141	取消删除了目录服务对象。

事件量：仅在域控制器上高。
默认值： 无审核。

展开审计目录服务复制策略

审核目录服务复制策略确定 OS 在两个域控制器之间开始和结束复制时是否生成审核事件。此子类别中的事件仅记录在域控制器上。

事件编号	事件消息
4932	Active Directory 命名上下文的副本同步已开始。
4933	Active Directory 命名上下文的副本同步已结束。

事件量：域控制器上的事件数量为中等。客户端计算机上无。
默认值： 无审核。

登录/注销

扩展审核帐户锁定策略

使用 审核帐户锁定 策略，可以审核失败尝试登录到已锁定的帐户时生成的安全事件。如果配置此策略设置，则当帐户无法登录计算机时，将生成审核事件，因为该帐户被锁定。成功审核记录成功尝试和失败审核记录失败尝试。

帐户锁定事件对于了解用户活动和检测潜在攻击至关重要。

事件编号	事件消息
4625	无法登录帐户。

事件量：低。
默认设置：成功。

展开审核用户/设备声明

审核 用户/设备声明 策略允许审核帐户登录令牌中的用户和设备声明信息。此子类别中的事件是在创建登录会话的计算机上生成的。对于交互式登录，会在用户登录到的计算机上生成安全审核事件。必须启用审核登录子类别才能从此子类别获取事件。

对于网络登录（例如访问网络上的共享文件夹），会在托管资源的计算机上生成安全审核事件。

事件编号	事件消息
4626	用户/设备声明信息。

事件量：客户端计算机上的低。域控制器或网络服务器上的中等级别
默认值： 无审核。

扩展审核组成员资格策略

使用 审核组成员身份 策略可以审核用户的登录令牌中的组成员身份信息。此子类别中的事件是在创建登录会话的计算机上生成的。还必须启用“审核登录”子类别。

对于交互式登录，会在用户登录到的计算机上生成安全审核事件。对于网络登录（例如访问网络上的共享文件夹），会在托管资源的计算机上生成安全审核事件。

事件编号	事件消息
4627	组成员身份信息。

事件量：客户端计算机上的低。中等在域控制器或网络服务器上。
默认值： 无审核。

展开审核 IPsec 扩展模式策略

审核 IPsec 扩展模式策略确定 OS 是否在扩展模式协商期间为 Internet 密钥交换（IKE）协议和经过身份验证的 Internet 协议（AuthIP）的结果生成审核事件。

IKE 是在 RFC 2409 中定义的 Internet 标准，用于定义建立 IPsec 安全关联的机制。安全关联是共同同意的策略和密钥的组合，用于定义有助于保护 IPsec 对等方之间的通信的安全服务和机制。

AuthIP 是增强版本的 IKE，可提供额外的灵活性，包括支持使用多个凭据进行基于用户的身份验证和身份验证。它还提供了改进的身份验证方法协商，并支持非对称身份验证。与 IKE 一样，AuthIP 支持主模式和快速模式协商。 AuthIP 还支持扩展模式，这是 IPsec 对等协商的一部分，在此期间可以执行第二轮身份验证。扩展模式（可选）可用于多个身份验证。例如，使用扩展模式，可以执行单独的基于计算机的身份验证和基于用户的身份验证。

事件编号	事件消息
4978	在扩展模式协商期间，IPsec 收到无效的协商数据包。如果此问题仍然存在，则可能表示存在网络问题，或者有人尝试修改或重播此协商。
4979	已建立 IPsec 主模式和扩展模式安全关联。此事件提供以下类别的事件数据：主模式本地终结点、主模式远程终结点、主模式加密信息、主模式安全关联、主模式附加信息以及扩展模式信息。
4980	已建立 IPsec 主模式和扩展模式安全关联。此事件提供以下类别的事件审核数据：主模式本地终结点、主模式远程终结点。主模式加密信息、主模式安全关联、主模式附加信息、扩展模式本地终结点、扩展模式远程终结点和扩展模式附加信息。
4981	已建立 IPsec 主模式和扩展模式安全关联。此事件提供以下类别中的事件审核数据：本地终结点、本地证书、远程终结点、远程证书、加密信息、安全关联信息、其他信息和扩展模式信息。
4982	已建立 IPsec 主模式和扩展模式安全关联。此事件提供以下类别中的事件审核数据：本地终结点、本地证书、远程终结点、远程证书、加密信息、安全关联信息、其他信息、扩展模式本地终结点、扩展模式远程终结点和扩展模式附加信息。
4983	IPsec 扩展模式协商失败。已删除相应的主模式安全关联。此事件提供以下类别的事件审核数据：本地终结点、本地证书、远程终结点、远程证书和故障信息。
4984	IPsec 扩展模式协商失败。已删除相应的主模式安全关联。此事件提供以下类别的事件审核数据：本地终结点、远程终结点、其他信息和故障信息。

事件量：高。
默认值： 无审核。

展开审核 IPsec 主模式策略

审核 IPsec 主模式策略确定 OS 是否在快速模式协商期间为 IKE 协议和 AuthIP 的结果生成审核事件。与 IKE 一样，AuthIP 支持主模式和快速模式协商。

主模式 IKE 协商在两台计算机之间建立一个称为 ISAKMP（Internet 安全关联和密钥管理协议）的安全通道。若要建立安全通道，主模式协商将确定一组加密保护套件，交换密钥材料以建立共享密钥，并验证计算机标识。

事件编号	事件消息
4646	安全 ID：%1。
4650	已建立 IPsec 主模式安全关联。未启用扩展模式。未使用证书身份验证。
4651	已建立 IPsec 主模式安全关联。未启用扩展模式。证书用于身份验证。
4652	IPsec 主模式协商失败。此审核事件返回以下类别的详细审核数据：本地终结点、本地证书、远程终结点、远程证书、其他信息和失败信息。
4653	IPsec 主模式协商失败。此审核事件返回以下类别的详细审核数据：本地终结点、远程终结点、其他信息和失败信息。
4655	IPsec 主模式安全关联已结束。
4976	在主模式协商期间，IPsec 收到无效的协商数据包。如果此问题仍然存在，则可能表示存在网络问题，或者有人尝试修改或重播此协商。
5049	已删除 IPsec 安全关联。
5453	与远程计算机的 IPsec 协商失败，因为 IKE 和 AuthIP IPsec 密钥模块 (IKEEXT) 服务未启动。

事件量：高。
默认值： 无审核。

展开审核 IPsec 快速模式策略

审核 IPsec 快速模式策略确定 OS 是否在快速模式协商期间为 IKE 协议和 AuthIP 的结果生成审核事件。与 IKE 一样，AuthIP 支持主模式和快速模式协商。

快速模式（也称为阶段 2）IKE 协商在两台计算机之间建立安全通道来保护数据。快速模式创建 IPsec 安全关联，这是计算机之间有关如何保护网络流量的协议。这些关联由 IPsec 服务协商。

在快速模式期间，会刷新键处理材料，或者在必要时生成新密钥。还会选择保护指定 IP 流量的保护套件。保护套件是一组定义的数据完整性或数据加密设置。快速模式不被视为完整的交换，因为它依赖于主模式交换。

事件编号	事件消息
4977	在快速模式协商期间，IPsec 收到无效的协商数据包。如果此问题仍然存在，则可能表示存在网络问题，或者有人尝试修改或重播此协商。
5451	已建立 IPsec 快速模式安全关联。
5452	IPsec 快速模式安全关联已结束。

事件量：高。
默认值： 无审核。

展开审核注销策略

审核注销策略确定 OS 在登录会话终止时是否生成审核事件。这些事件发生在已访问的计算机上。发生交互式登录时，这些事件在登录的计算机上生成。

注释

此子类别中没有失败事件，因为失败的注销（例如系统突然关闭时）不会生成审核记录。

登录事件对于了解用户活动和检测潜在攻击至关重要。注销事件不可靠 100%。例如，可以在没有适当的注销和关机的情况下关闭计算机，在这种情况下，不会生成注销事件。

事件编号	事件消息
4634	已注销帐户。
4647	用户启动的注销。

事件量：低。
默认值：成功。

展开审核登录策略

审核登录策略确定当用户尝试登录计算机时，OS 是否生成审核事件。

这些事件与创建登录会话相关，并在访问的计算机上发生。对于交互式登录，事件在登录的计算机上生成。对于网络登录（例如访问共享），会在托管访问的资源的计算机上生成事件。登录事件对于跟踪用户活动和检测潜在攻击至关重要。记录以下事件：

登录成功和失败。
使用显式凭据进行登录尝试。当一个进程尝试通过明确指定该账号的凭据来登录帐户时，会生成此事件。这最常发生在批处理设置（如计划任务）或使用 runas 命令时。

事件编号	事件消息
4624	帐户登录成功。
4625	无法登录帐户。
4648	尝试使用显式凭据登录。
4675	筛选了 SID。

事件量：客户端计算机上的低。网络服务器或域控制器上的中等。
默认值：客户端计算机成功。服务器的成功和失败。

展开审核网络策略服务器策略

审核网络策略服务器策略确定 OS 是否针对用户访问请求生成 RADIUS （IAS）和网络访问保护（NAP）活动的审核事件。这些请求包括：

授权
否认
弃用
隔离
锁
开锁

NAP 事件可用于帮助了解网络的整体运行状况。

事件编号	事件消息
6272	网络策略服务器授予用户访问权限。
6273	网络策略服务器拒绝用户访问。
6274	网络策略服务器放弃了对用户的请求。
6275	网络策略服务器放弃了用户的记帐请求。
6276	网络策略服务器隔离了用户。
6277	网络策略服务器授予了用户访问权限，但由于主机不符合已定义的健康策略，将其置于测试期。
6278	网络策略服务器授予用户完全访问权限，因为主机符合定义的运行状况策略。
6279	由于身份验证尝试多次失败，网络策略服务器锁定了用户帐户。
6280	网络策略服务器已解锁用户帐户。

事件量：在 NPS 和 IAS 服务器上的中或高。在其他服务器上或客户端计算机上管理。
默认值：成功和失败。

扩展审核其他登录/注销事件策略

审核其他登录/注销事件策略确定 Windows 是否为其他登录或注销事件生成审核事件。这些其他登录或注销事件包括：

远程桌面会话连接或断开连接。
工作站已锁定或解锁。
将调用或消除屏幕保护程序。
检测到重播攻击。此事件指示已收到两次具有相同信息的 Kerberos 请求。网络配置错误也可能导致此问题。
用户有权访问无线网络。它可以是用户帐户或计算机帐户。
用户有权访问有线 802.1x 网络。它可以是用户帐户或计算机帐户。

事件编号	事件消息
4649	已检测到重播攻击。
4778	会话已重新连接到窗口工作站。
4779	会话已从窗口工作站断开连接。
4800	工作站已锁定。
4801	工作站已解锁。
4802	调用了屏幕保护程序。
4803	消除了屏幕保护程序。
5378	策略禁止了所请求的凭据委派。
5632	请求向无线网络进行身份验证。
5633	请求向有线网络进行身份验证。

事件量：低。
默认值： 无审核。

展开审计特殊登录策略

审核特殊登录策略确定操作系统是否在特殊登录（或登录）情况下生成审核事件。此安全策略设置确定 OS 在以下情况下是否生成审核事件：

使用特殊登录。特殊登录是具有管理员等效权限的登录，可用于将进程提升到更高级别。
特殊组的成员登录。特殊组是一项 Windows 功能，使管理员能够了解特定组的成员何时登录。管理员可以在注册表中设置组安全标识符（SID）的列表。如果在登录期间将其中任何一个 SID 添加到令牌，并且已启用此审核子类别，则会记录安全事件。

拥有特殊特权的用户可能会对系统进行更改。建议跟踪其活动。

事件编号	事件消息
4964	已向新的登录信息分配特殊组。

事件量：低
默认值：成功

对象访问

通过对象访问策略设置和审核事件，可以跟踪尝试访问网络或计算机上的特定对象或对象类型。若要审核对文件、目录、注册表项或其他对象的访问尝试，必须为成功和/或失败事件启用相应的对象访问审核子类别。例如，需要启用文件系统子类别来审核文件作，并且需要启用注册表子类别来审核注册表访问权限。此类别包括以下子类别：

展开由审核应用生成的策略

审核应用程序生成的策略确定当应用程序尝试使用 Windows 审核应用程序编程接口（API）时，OS 是否生成审核事件。

以下事件可以生成审核活动：

创建、删除或初始化应用程序客户端上下文
应用程序操作

设计为使用 Windows 审核 API 的应用程序可以使用此子类别来记录与这些 API 相关的审核事件。这些审核事件的级别、卷、相关性和重要性取决于生成它们的应用程序。 OS 会在应用程序生成事件时记录事件。

事件编号	事件消息
4665	尝试创建应用程序客户端上下文。
4666	应用程序尝试执行操作。
4667	已删除应用程序客户端上下文。
4668	应用程序已初始化。

事件量：根据已安装的应用程序对 Windows 审核的使用情况而有所不同

扩展审核认证服务政策

审核认证服务策略确定 OS 在执行 Active Directory 证书服务（AD CS）作时是否生成事件。监视这些操作事件对于确保 AD CS 角色服务正常运行至关重要。 AD CS操作的实例包括：

AD CS 启动、关闭、备份或还原。
执行与证书吊销列表（CRL）相关的任务。
证书可以被请求、颁发或吊销。
AD CS 的证书管理器设置已更改。
证书颁发机构（CA）的配置和属性已更改。
AD CS 模板已修改。
证书已导入。
CA 证书发布到 Active Directory 域服务。
修改 AD CS 角色服务的安全权限。
密钥是存档、导入或检索的。
OCSP 响应器服务已启动或停止。

事件编号	事件消息
4868	证书管理器已拒绝挂起的证书申请。
4869	证书服务收到重新提交的证书申请。
4870	证书服务已吊销证书。
4871	证书服务收到发布证书吊销列表 (CRL) 的申请。
4872	证书服务已发布证书吊销列表 (CRL)。
4873	证书申请扩展已更改。
4874	一个或多个证书申请属性已更改。
4875	证书服务收到执行关闭操作的申请。
4876	证书服务备份已启动。
4877	证书服务备份已完成。
4878	证书服务还原已启动。
4879	证书服务还原已完成。
4880	证书服务已启动。
4881	证书服务已停止。
4882	证书服务的安全权限已更改。
4883	证书服务检索到存档的密钥。
4884	证书服务已将证书导入到其数据库中。
4885	证书服务的审核筛选器已更改。
4886	证书服务收到证书申请。
4887	证书服务已批准证书申请并颁发证书。
4888	证书服务已拒绝证书申请。
4889	证书服务将证书申请的状态设置为挂起。
4890	证书服务的证书管理器设置已更改。
4891	证书服务中的配置项已更改。
4892	证书服务的属性已更改。
4893	证书服务已存档密钥。
4894	证书服务已导入并存档密钥。
4895	证书服务已将 CA 证书发布到 Active Directory 域服务。
4896	已经从证书数据库删除一个或多个行。
4897	已启用角色分离。
4898	证书服务已加载模板。

事件量：托管 AD CS 服务的服务器上的中或低

扩展审核详细文件共享的策略

使用 审核详细文件共享 策略，可以审核访问共享文件夹上的文件和文件夹的尝试。每次访问文件或文件夹时，详细文件共享设置都会记录事件，而文件共享设置仅记录客户端计算机和文件共享之间建立的任何连接的事件。详细的文件共享审核事件包括有关用于授予或拒绝访问权限的权限或其他条件的详细信息。

注释

共享文件夹没有 SACLs。启用此策略设置时，系统会审核对系统上共享文件和文件夹的所有访问权限。

事件编号	事件消息
5145	已检查网络共享对象，以查看是否可以向客户端授予所需的访问权限。

事件量：由于组策略需要 SYSVOL 网络访问，因此文件服务器或域控制器上的事件量较高。

展开审核文件共享策略

审核文件共享策略确定当访问文件共享时 OS 是否生成审核事件。创建、删除共享或共享权限更改时，不会生成审核事件。与文件系统审核相结合，文件共享审核使你能够跟踪访问的内容、请求的源（IP 地址和端口）以及用于访问的用户帐户。

注释

共享没有系统访问控制列表 (SACL); 因此，启用此设置后，将对系统上所有共享的访问进行审计。

事件编号	事件消息
5140	已访问网络共享对象。此事件记录在运行 Windows Server 2008 R2、Windows Server 2008、Windows 7 或 Windows Vista 的计算机上。
5142	添加了网络共享对象。
5143	修改了网络共享对象。
5144	已删除网络共享对象。
5168	SMB/SMB2 的 SPN 检查失败。

事件量：在文件服务器或域控制器上由于组策略需要访问 SYSVOL 网络，导致事件量较高。

展开审核文件系统策略

审核文件系统策略确定当用户尝试访问文件系统对象时 OS 是否生成审核事件。仅针对配置 SCL 的对象生成审核事件，并且仅当请求的访问类型（如写入、读取或修改）和发出请求的帐户与 SACL 中的设置匹配时。

如果启用了成功审核，则每次任何帐户都成功访问具有匹配 SACL 的文件系统对象时，都会生成审核条目。如果启用了失败审核，那么每当用户未能成功尝试访问与 SACL 匹配的文件系统对象时，都会生成一个审核条目。这些事件对于跟踪敏感或有价值的文件对象的活动至关重要，需要额外的监视。

事件编号	事件消息
4664	已尝试创建硬链接。
4985	已更改事务状态。
5051	文件已虚拟化。

事件量：根据文件系统 SACL 的配置方式 而有所不同。

扩展审计过滤平台连接策略

审核筛选平台连接策略决定当 Windows 筛选平台允许或阻止连接时，操作系统是否生成审核事件。 Windows 筛选平台（WFP）是在 Windows Server 2008 和 Windows Vista 中引入的。它使独立的软件供应商（ISV）能够筛选和修改 TCP/IP 数据包、监视或授权连接、筛选受 Internet 协议安全性（IPsec）保护的流量以及筛选 RPC。使用此安全策略可以审核以下类型的操作：

Windows 防火墙服务阻止应用程序接受网络上的传入连接。
Windows 筛选平台允许或阻止连接。
Windows 筛选平台允许或阻止绑定到本地端口。
Windows 筛选平台允许或阻止应用程序或服务侦听端口上的传入连接。

事件编号	事件消息
5031	Windows 防火墙服务已禁止应用程序接受网络中的传入连接。
5140	已访问网络共享对象。此事件仅记录在运行 Windows 操作系统受支持版本的计算机上，这些版本在“适用于”列表中已标明。
5150	Windows 筛选平台已禁止数据包。
5151	限制更严格的 Windows 筛选平台筛选器已禁止数据包。
5154	Windows 筛选平台已允许应用程序或服务在端口上侦听传入连接。
5155	Windows 筛选平台已禁止应用程序或服务在端口上侦听传入连接。
5156	Windows 筛选平台已允许连接。
5157	Windows 筛选平台已禁止连接。
5158	Windows 筛选平台已允许绑定到本地端口。
5159	Windows 筛选平台已禁止绑定到本地端口。

事件量：高。

扩展审计过滤平台丢包策略

审核筛选平台数据包删除策略确定 OS 在 Windows 筛选平台删除数据包时是否生成审核事件。 Windows 筛选平台（WFP）是在 Windows Server 2008 和 Windows Vista 中引入的。 WFP 使独立软件供应商（ISV）能够筛选和修改 TCP/IP 数据包、监视或授权连接、筛选受 Internet 协议安全性（IPsec）保护的流量以及筛选 RPC。丢弃的数据包速率较高可能表明有人尝试获得对网络上计算机的未经授权的访问。

事件编号	事件消息
5152	Windows 筛选平台已禁止数据包。
5153	限制更严格的 Windows 筛选平台筛选器已禁止数据包。

事件量：高。

展开审核句柄操作策略

审核句柄操作策略 确定当打开或关闭对象句柄时，操作系统是否生成审核事件。只有配置了 SACL 的对象才会生成这些事件，并且仅当尝试的句柄操作与 SACL 匹配时。

注释

仅为启用了相应文件系统或注册表对象访问子类别的对象类型生成句柄操作事件。请参阅 审核文件系统 或 审核注册表 策略。

事件编号	事件消息
4656	请求某个对象的句柄。
4658	关闭某个对象的句柄。
4690	尝试复制某个对象的句柄。

事件量：依据 SACL 的配置方式而异。

展开审核内核对象策略

审核内核对象策略确定当用户尝试访问系统内核（包括互斥体和信号灯）时，操作系统是否生成审核事件。只有具有匹配 SACL 的内核对象才会生成安全审核事件。生成的审核仅适用于开发人员。通常，仅当启用了 AuditBaseObjects 或 AuditBaseDirectories 审核选项时，才会为内核对象提供 SCL。

注释

审核：审核全局系统对象访问的策略设置控制内核对象的默认 SACL。

事件编号	事件消息
4659	请求对象的句柄，以进行删除。
4660	对象已删除。
4661	请求某个对象的句柄。
4663	尝试访问某个对象。

事件量：为高，如果启用了全局系统对象的审核访问。

展开“审核其他对象访问事件”策略

审核其他对象访问事件策略确定 OS 是否为管理任务计划程序作业或 COM+ 对象生成审核事件。

调度器任务的以下操作将被审核：

作业被创建、删除、启用、禁用或更新。

对于 COM+ 对象，将会审核以下操作：

事件编号	事件消息
4671	应用程序已尝试通过 TBS 访问被禁的序号。
4691	已请求间接访问某个对象。
4698	创建了一个计划任务。
4699	删除了一个计划任务。
4700	启用了一个计划任务。
4701	禁用了一个计划任务。
4702	更新了一个计划任务。
5148	Windows 筛选平台检测到 DoS 攻击并进入防御模式;将丢弃与此攻击关联的数据包。此事件仅记录在运行受支持的 Windows OS 版本的计算机上。
5149	DoS 攻击已消退，正在恢复正常处理。此事件仅记录在运行受支持的 Windows OS 版本的计算机上。
5888	修改了 COM+ 目录中的对象。
5889	从 COM+ 目录中删除了对象。
5890	向 COM + 目录中添加了对象。

事件量：低。

扩展审计注册表策略

审核注册表策略确定当用户尝试访问注册表对象时，OS 是否生成审核事件。仅针对已配置 SCL 的对象生成审核事件，并且仅当请求的访问类型（例如写入、读取或修改）和发出请求的帐户与 SACL 中的设置匹配时。

如果启用了成功审核，则每当任何帐户成功访问具有匹配 SACL 的注册表对象时，都会生成审核条目。如果启用了失败审核，那么每次用户尝试访问具有匹配 SACL 的注册表对象但未成功时，都会生成审核条目。

事件编号	事件消息
4657	修改了注册表值。
5039	已虚拟化注册表项。

事件量：根据注册表 SACL 的配置方式而异。

扩展审核可移动存储策略

审核可移动存储策略确定当用户尝试访问可移动存储设备上的文件系统对象时，OS 是否生成审核事件。为对可移动存储上任何对象的所有类型的访问生成审核事件。

启用此策略后，每次帐户访问可移动存储设备上的文件系统对象时，都会记录审核事件。成功审核捕获成功的访问尝试，而失败审核捕获失败尝试。如果未配置此策略，则不会生成任何审核事件以访问可移动存储设备上的文件系统对象。

事件编号	事件消息
4656	请求某个对象的句柄。
4658	关闭某个对象的句柄。
4663	尝试访问某个对象。

展开审核 SAM 策略

使用审核 SAM，可以审核尝试访问 SAM 对象时生成的事件。 SAM 是运行 Windows OS 的计算机上存在的数据库，用于存储本地计算机上的用户帐户和安全描述符。 SAM 对象包括：

SAM_ALIAS：本地组
SAM_GROUP：不是本地组
SAM_USER：用户帐户
SAM_DOMAIN：一个域
SAM_SERVER：计算机帐户

如果配置此策略设置，则访问 SAM 对象时会生成审核事件。成功审核记录成功尝试，失败审核记录失败尝试。只能修改 SAM_SERVER 的 SACL。

帐户管理审核类别跟踪对用户和组对象的更改。但是，拥有足够权限的用户帐户可能会更改帐户和密码信息存储在系统中的文件，从而绕过任何帐户管理事件。

事件编号	事件消息
4659	请求对象的句柄，以进行删除。
4660	对象已删除。
4661	请求某个对象的句柄。
4663	尝试访问某个对象。

在域控制器上，事件量为高。

展开审核中心访问策略暂存策略

审核中心访问策略暂存策略允许审核访问尝试，其中建议的中心访问策略授予或拒绝的权限不同于对象上当前策略的权限。配置此策略时，每次用户访问对象时都会生成审核事件，而当前中央访问策略授予的权限不同于建议的策略授予的权限。审核事件按如下方式生成：

成功审核启用时，会记录访问尝试，其中当前策略允许访问，但建议的策略会拒绝访问。
失败审核（启用时）会记录在这些情况下的访问尝试：
- 当前策略不授予访问权限，但建议的策略将授予它。
- 主体请求其允许的最大访问权限，而当前策略授予的权限不同于建议的策略授予的权限。

事件编号	事件消息
4818	建议的中央访问策略不会授予与当前中央访问策略相同的访问权限。

可能的事件量：当建议的策略与当前中央访问策略明显不同时，文件服务器上的事件量可能很高。
默认值： 无审核。

策略更改

通过策略更改审核事件，可以跟踪对本地系统或网络上重要安全策略的更改。由于通常由管理员建立策略来帮助保护网络资源，因此监视更改或尝试更改这些策略可能是网络安全管理的重要方面。此类别包括以下子类别：

展开审核策略更改策略

审核审核策略更改策略确定 OS 在对审核策略进行更改时是否生成审核事件。审核策略的更改是关键安全事件。审核策略的更改包括：

更改审核策略对象的权限和审核设置（通过使用 auditpol /set /sd）。
更改系统审核策略。
注册和注销安全事件源。
更改每个用户的审核设置。
更改 CrashOnAuditFail 的值。
更改特殊组列表中的任何内容。
更改对象的审核设置（例如，修改文件或注册表项的 SACL）。

注释

当对象的 SACL 已更改并配置策略更改类别时，将执行 SACL 更改审核。当配置对象访问审核且设置对象的 SACL 以审核 DACL 或所有者更改时，将对自由访问控制列表 (DACL) 和所有者更改进行审核。

事件编号	事件消息
4715	某个对象上的的审核策略 (SACL) 已更改。
4719	已更改系统审核策略。
4817	对象上的审核设置已更改。此事件仅记录在运行受支持的 Windows OS 版本的计算机上。
4902	已创建每用户审核策略表。
4904	尝试注册安全事件源。
4905	尝试注销安全事件源。
4906	CrashOnAuditFail 值已更改。
4907	某个对象上的审核设置已更改。
4908	特殊组登录信息表已修改。
4912	每用户审核策略已更改。

事件量：低。
默认值：成功。

展开审核身份验证策略更改策略

审核身份验证策略更改策略确定 OS 在对身份验证策略进行更改时是否生成审核事件。此设置可用于跟踪授予用户帐户或组的域级别和林级信任和特权中的更改。对身份验证策略所做的更改包括：

创建、修改和删除林和域信任关系。
更改计算机 配置\Windows 设置\安全设置\帐户策略\Kerberos 策略中的 Kerberos 策略。

注释

应用策略时，不会在管理员修改设置时记录审核事件。

向用户或组授予以下任一用户权限时：

从网络访问此计算机。
允许本地登录。
允许通过远程桌面登录。
以批处理作业身份登录。
以服务身份登录。

命名空间冲突，例如，添加的信任与现有命名空间名称发生冲突时。

事件编号	事件消息
4713	更改了 Kerberos 策略。
4716	修改了受信任的域信息。
4717	向帐户授予了系统安全访问权限。
4718	从帐户中删除了系统安全访问权限。
4739	更改了域策略。
4864	检测到命名空间冲突。
4865	添加了受信任的林信息条目。
4866	删除了受信任的林信息条目。
4867	修改了受信任的林信息条目。

事件量：低。
默认值：成功。

展开审核授权策略更改策略

审核授权策略更改策略确定 OS 在对授权策略进行特定更改时是否生成审核事件。可以审核的授权策略更改包括：

分配或删除用户权限（如 SeCreateTokenPrivilege），但使用 审核身份验证策略更改 子类别审核的系统访问权限除外。
更改加密文件系统（EFS）策略。

事件编号	事件消息
4704	已分配用户权限。
4705	删除了用户权限。
4706	为域创建了新的信任。
4707	删除了对域的信任。
4714	更改了加密数据恢复策略。

事件量：低。
默认值： 无审核。

展开审核筛选平台策略更改策略

审核筛选平台策略更改策略决定是否让操作系统为某些 IPsec 和 Windows 筛选平台动作生成审核事件。 Windows 筛选平台（WFP）使独立的软件供应商（ISV）能够筛选和修改 TCP/IP 数据包、监视或授权连接、筛选受 Internet 协议安全性（IPsec）保护的流量以及筛选 RPC。此安全策略设置确定 OS 是否为以下项生成审核事件：

IPsec 服务状态。
对 IPsec 设置的更改。
Windows 筛选平台引擎和提供程序的状态和更改。
IPsec 策略代理服务活动。

事件编号	事件消息
4709	IPsec 服务已启动。
4710	IPsec 服务已禁用。
4711	可以包含以下任何消息之一： PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略的本地缓存副本。 PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略。 PAStore 引擎在计算机上应用了本地注册表存储 IPsec 策略。 PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略的本地缓存副本。 PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略。 PAStore 引擎无法在计算机上应用本地注册表存储 IPsec 策略。 PAStore 引擎无法在计算机上应用活动 IPsec 策略的某些规则。 PAStore 引擎无法在计算机上加载目录存储 IPsec 策略。 PAStore 引擎在计算机上加载了目录存储 IPsec 策略。 PAStore 引擎无法在计算机上加载本地存储 IPsec 策略。 PAStore 引擎在计算机上加载了本地存储 IPsec 策略。 PAStore 引擎轮询了活动 IPsec 策略的更改，未检测到任何更改。
4712	IPsec 服务遇到潜在的严重故障。
5040	对 IPsec 设置进行了更改。添加了身份验证集。
5041	对 IPsec 设置进行了更改。修改了身份验证集。
5042	对 IPsec 设置进行了更改。删除了身份验证集。
5043	对 IPsec 设置进行了更改。添加了连接安全规则。
5044	对 IPsec 设置进行了更改。修改了连接安全规则。
5045	对 IPsec 设置进行了更改。删除了连接安全规则。
5046	对 IPsec 设置进行了更改。添加了加密集。
5047	对 IPsec 设置进行了更改。修改了加密集。
5048	对 IPsec 设置进行了更改。删除了加密集。
5440	Windows 筛选平台基础筛选引擎启动时，存在以下标注。
5441	Windows 筛选平台基本筛选引擎启动时，存在以下筛选器。
5442	Windows 筛选平台基本筛选引擎启动时，存在以下提供程序。
5443	Windows 筛选平台基本筛选引擎启动时，存在以下提供程序上下文。
5444	Windows 筛选平台基本筛选引擎启动时，存在以下子层。
5446	Windows 筛选平台标注已更改。
5448	Windows 筛选平台提供程序已更改。
5449	Windows 筛选平台提供程序上下文已更改。
5450	Windows 筛选平台子层已更改。
5456	PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略。
5457	PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略。
5458	PAStore 引擎在计算机上应用了 Active Directory 存储 IPsec 策略的本地缓存副本。
5459	PAStore 引擎无法在计算机上应用 Active Directory 存储 IPsec 策略的本地缓存副本。
5460	PAStore 引擎在计算机上应用了本地注册表存储 IPsec 策略。
5461	PAStore 引擎无法在计算机上应用本地注册表存储 IPsec 策略。
5462	PAStore 引擎无法在计算机上应用活动 IPsec 策略的某些规则。使用 IP 安全监视器管理单元来诊断问题。
5463	PAStore 引擎轮询了活动 IPsec 策略的更改，未检测到任何更改。
5464	PAStore 引擎轮询了对活动 IPsec 策略的更改、检测到更改并将其应用于 IPsec 服务。
5465	PAStore 引擎收到了用于强制重新加载 IPsec 策略的控件，并已成功处理该控件。
5466	PAStore 引擎轮询了 Active Directory IPsec 策略的更改，确定无法访问 Active Directory，并将改用 Active Directory IPsec 策略的缓存副本。无法应用自上次轮询以来对 Active Directory IPsec 策略所做的任何更改。
5467	PAStore 引擎轮询了 Active Directory IPsec 策略的更改，确定可以访问 Active Directory，且未发现策略有任何更改。不再使用 Active Directory IPsec 策略的缓存副本。
5468	PAStore 引擎轮询了 Active Directory IPsec 策略的更改，确定可以访问 Active Directory、找到策略更改并应用这些更改。不再使用 Active Directory IPsec 策略的缓存副本。
5471	PAStore 引擎在计算机上加载了本地存储 IPsec 策略。
5472	PAStore 引擎无法在计算机上加载本地存储 IPsec 策略。
5473	PAStore 引擎在计算机上加载了目录存储 IPsec 策略。
5474	PAStore 引擎无法在计算机上加载目录存储 IPsec 策略。
5477	PAStore 引擎无法添加快速模式筛选器。

事件量：低。
默认值： 无审核。

扩展审计 MPSSVC Rule-Level 政策更改策略

审核 MPSSVC Rule-Level 策略更改此策略用于确定当对 Microsoft 保护服务（MPSSVC.exe）的策略规则进行更改时，操作系统是否生成审计事件。

Windows 防火墙使用的 Microsoft 保护服务是计算机针对 Internet 绑定威胁（如特洛伊木马和间谍软件）的威胁防护的组成部分。跟踪的活动包括：

Windows 防火墙服务启动时的活动策略。
对 Windows 防火墙规则的更改。
对 Windows 防火墙例外列表的更改。
对 Windows 防火墙设置的更改。
Windows 防火墙服务忽略或未应用的规则。
对 Windows 防火墙组策略设置的更改。

对防火墙规则的更改对于了解计算机的安全状态以及它如何抵御网络攻击非常重要。

事件编号	事件消息
4944	在 Windows 防火墙启动后，以下策略处于活动状态。
4945	Windows 防火墙启动时列出了某个规则。
4946	对 Windows 防火墙例外列表进行了更改。已添加规则。
4947	对 Windows 防火墙例外列表进行了更改。已修改规则。
4948	对 Windows 防火墙例外列表进行了更改。已删除规则。
4949	Windows 防火墙设置已还原为默认值。
4950	Windows 防火墙设置已更改。
4951	已忽略了某个规则，因为 Windows 防火墙无法识别其主版本号。
4952	已忽略某个规则的某些部分，因为 Windows 防火墙未识别其次要版本号。将强制实施规则的其他部分。
4953	Windows 防火墙忽略了某个规则，因为它无法分析该规则。
4954	Windows 防火墙组策略设置已更改。已应用新设置。
4956	Windows 防火墙更改了活动配置文件。
4957	Windows 防火墙未应用以下规则。
4958	Windows 防火墙未应用以下规则，因为该规则引用了此计算机上未配置的项目。

事件量：低。
默认值： 无审核。

展开审核其他策略更改事件的策略

审核其他策略更改事件策略确定 OS 是否为未在“策略更改”类别中审核的安全策略更改生成审核事件。可以审核的策略更改类别中的其他活动包括：

受信任的平台模块（TPM）配置更改。
内核模式加密自测试。
加密提供程序作。
加密上下文作或修改。

事件编号	事件消息
4670	已更改对象上的权限。
4909	已更改 TBS 的本地策略设置。
4910	TBS 的组策略配置已更改。
5063	尝试了加密提供程序操作。
5064	尝试了加密上下文操作。
5065	尝试了加密上下文修改。
5066	尝试了加密函数操作。
5067	尝试了加密函数修改。
5068	尝试了加密函数提供程序操作。
5069	尝试了加密函数属性操作。
5070	尝试了加密函数属性修改。
5447	Windows 筛选平台筛选器已更改。
6144	已成功应用组策略对象中的安全策略。
6145	在组策略对象中处理安全策略时发生了一个或多个错误。

事件量：低。
默认值： 无审核。

特权使用

为用户或计算机授予对网络的权限，以完成已定义的任务。权限使用的安全策略设置和审核事件，使您能够跟踪一个或多个系统上特定权限的使用情况。此类别包括以下子类别：
展开审核非敏感权限使用的策略

审核非敏感特权使用策略确定在使用非敏感特权（用户权限）时，OS 是否生成审核事件。以下特权不敏感：
- 将工作站添加到域
- 为进程调整内存配额
- 允许本地登录
- 允许通过终端服务登录
- 绕过遍历检查
- 更改系统时间
- 创建页面文件
- 创建全局对象
- 创建永久共享对象
- 创建符号链接
- 拒绝从网络访问这台计算机
- 拒绝以批处理任务身份登录
- 拒绝以服务身份登录
- 拒绝本地登录
- 拒绝通过终端服务登录
- 强制从远程系统关闭
- 增加进程工作集
- 提高计划优先级
- 在内存中锁定页面
- 作为批处理作业登录
- 作为服务登录
- 修改对象标签
- 执行卷维护任务
- 配置文件单一进程
- 配置文件系统性能
- 从扩展坞中移除计算机
- 关闭系统
- 同步目录服务数据
如果配置此策略设置，则会在调用非敏感特权时生成审核事件。成功审核记录成功尝试，失败审核记录失败尝试。

事件编号事件消息

4672 已向新的登录分配特殊权限。

4673 调用了特权服务。

4674 尝试对特权对象执行操作。
- 事件量： 非常高。
扩展“审核其他特权使用事件”策略

未使用 审核其他特权使用事件 策略。
扩展“审核敏感特权使用”策略

审核敏感特权使用策略确定使用敏感权限（用户权限）时，OS 是否生成审核事件。可审核的操作包括：
- 特权服务被调用。
- 调用以下权限之一：
  - 充当操作系统的一部分
  - 备份文件和目录
  - 创建令牌对象
  - 调试程序
  - 支持信任计算机和用户帐户以执行委派
  - 生成安全审核
  - 在身份验证后模拟客户端
  - 加载和卸载设备驱动程序
  - 管理审核和安全日志
  - 修改固件环境值
  - 替换进程级令牌
  - 还原文件和目录
  - 获取文件或其他对象的所有权
如果配置此策略设置，则会在发出敏感特权请求时生成审核事件。成功审核记录成功尝试，失败审核记录失败尝试。

事件编号事件消息

4672 已向新的登录分配特殊权限。

4673 调用了特权服务。

4674 尝试对特权对象执行操作。
- 事件量：高。

系统

通过系统安全策略设置和审核事件，可以跟踪未包含在其他类别中且具有潜在安全影响的计算机的系统级更改。此类别包括以下子类别：

展开 IPsec 驱动程序的审核策略

审核 IPsec 驱动程序策略确定 OS 是否为 IPsec 驱动程序的活动生成审核事件。 IPsec 驱动程序使用活动 IPsec 策略中的 IP 筛选器列表监视必须受到保护的出站 IP 数据包以及必须验证和解密的入站 IP 数据包。此安全策略设置报告 IPsec 驱动程序的以下活动：

启动和关闭 IPsec 服务。
由于完整性检查失败而丢弃的数据包。
由于重播检查失败而丢弃的数据包。
由于是纯文本而被丢弃的数据包。
使用不正确的安全参数索引（SPI）接收的数据包。这可以指示硬件故障或互作性问题。
无法处理 IPsec 筛选器。

IPsec 筛选器驱动程序丢弃的高数据包速率可能表示尝试通过未经授权的系统访问网络。无法处理 IPsec 筛选器会带来潜在的安全风险，因为某些网络接口可能无法获得 IPsec 筛选器提供的保护。

事件编号	事件消息
4960	IPsec 丢弃了未通过完整性检查的入站数据包。如果此问题仍然存在，则可能表明存在网络问题，或者数据包可能在传输过程中被修改传输到此计算机。验证从远程计算机发送的数据包是否与此计算机接收的数据包相同。此错误还可能表示与其他 IPsec 实现的互操作性问题。
4961	IPsec 丢弃了未通过重播检查的入站数据包。如果此问题仍然存在，则可能表示此计算机受到重放攻击。
4962	IPsec 丢弃了未通过重播检查的入站数据包。入站数据包的序列号太低，无法确保它是否通过重放。
4963	IPsec 丢弃了本应受到保护的入站明文数据包。这通常是由于远程计算机在未通知此计算机的情况下更改了其 IPsec 策略。这也可能是一次欺骗攻击尝试。
4965	IPsec 收到来自远程计算机的数据包，该数据包带有错误的安全参数索引 (SPI)。这通常是由损坏数据包的故障硬件引起的。如果这些错误仍然存在，请验证从远程计算机发送的数据包是否与此计算机接收的数据包相同。此错误还可以表示与其他 IPsec 实现的互操作性问题。在这种情况下，如果连接不受阻碍，则可以忽略这些事件。
5478	IPsec 服务已成功启动。
5479	IPsec 服务已成功关闭。关闭 IPsec Services 会使计算机面临更大的网络攻击风险，或使计算机面临潜在的安全风险。
5480	IPsec 服务无法获取计算机上网络接口的完整列表。这会带来潜在的安全风险，因为某些网络接口可能无法获得由应用的 IPsec 筛选器提供的保护。使用 IP 安全监视器管理单元来诊断问题。
5483	IPsec 服务无法初始化 RPC 服务器。无法启动 IPsec 服务。
5484	IPsec 服务发生严重故障并已关闭。关闭 IPsec Services 会使计算机面临更大的网络攻击风险，或使计算机面临潜在的安全风险。
5485	IPsec 服务无法针对网络接口的即插即用事件处理某些 IPsec 筛选器。这会带来潜在的安全风险，因为某些网络接口可能无法获得由应用的 IPsec 筛选器提供的保护。使用 IP 安全监视器管理单元来诊断问题。

事件量：低。
默认值： 无审核。

扩展审核其他系统事件政策

审核其他系统事件策略确定 OS 是否审核各种系统事件。此类别中的系统事件包括：

启动和关闭 Windows 防火墙服务和驱动程序。
Windows 防火墙服务进行的安全策略处理。
加密密钥文件和迁移作。

重要

无法启动 Windows 防火墙服务可能会导致计算机未完全受到网络威胁的保护。

事件编号	事件消息
5024	已成功启动 Windows 防火墙服务。
5025	已停止 Windows 防火墙服务。
5027	Windows 防火墙服务无法从本地存储检索安全策略。该服务将继续强制实施当前策略。
5028	Windows 防火墙服务无法分析新的安全策略。该服务将继续强制实施当前策略。
5029	Windows 防火墙服务无法初始化驱动程序。该服务将继续强制实施当前策略。
5030	无法启动 Windows 防火墙服务。
5032	Windows 防火墙无法通知用户已禁止应用程序接受网络中的传入连接。
5033	已成功启动 Windows 防火墙驱动程序。
5034	Windows 防火墙驱动程序已停止。
5035	无法启动 Windows 防火墙驱动程序。
5037	Windows 防火墙驱动程序检测到严重的运行时错误。正在终止。
5058	重要文件操作。
5059	密钥迁移操作。
6400	BranchCache：在发现内容可用性时收到格式不正确的响应。此事件仅记录在运行受支持的 Windows OS 版本的计算机上。
6401	BranchCache：从对等方收到无效数据。数据已丢弃。 ¹
6402	BranchCache：提供给托管缓存的数据消息格式不正确。 ¹
6403	BranchCache：托管缓存向客户端发送了格式不正确的响应。 ¹
6404	BranchCache：无法使用预配的 SSL 证书对托管缓存进行身份验证。 ¹
6405	BranchCache：事件 ID 为 %1 的实例共发生了 %2 次。 ¹
6406	%1 注册到 Windows 防火墙以控制以下项的筛选：%2 ¹
6407	1% ¹
6408	注册的产品 %1 失败，Windows 防火墙现在控制 %2 ¹ 的筛选

注释

¹ 此事件仅记录在运行受支持的 Windows OS 版本的计算机上。

事件量：低。
默认值：成功和失败。

扩展“审核安全状态更改”策略

审核安全状态更改策略确定 Windows 是否为系统的安全状态更改生成审核事件。 OS 的安全状态更改包括：

系统启动和关闭。
更改系统时间。
从 CrashOnAuditFail 进行系统恢复。在系统因 CrashOnAuditFail 崩溃后重新启动时，将记录此事件。当系统因 CrashOnAuditFail 而重新启动时，可能无法记录某些可审核活动。

事件编号	事件消息
4608	Windows 正在启动。
4609	Windows 正在关闭。
4616	系统时间已更改。
4621	管理员已从 CrashOnAuditFail 中恢复了系统。现在将允许非管理员用户登录。某个可审核活动可能未记录。

事件量：低。
默认值：成功。

扩展审核安全系统策略

审核安全系统扩展策略确定 OS 是否生成与安全系统扩展相关的审核事件。对 OS 中安全系统扩展的更改包括以下活动：

加载安全扩展插件代码（例如身份验证、通知或安全包）。安全扩展代码向本地安全机构注册，并将被使用和信任对登录尝试进行身份验证、提交登录请求，并收到任何帐户或密码更改的通知。此扩展代码的示例包括安全支持提供程序，例如 Kerberos 和 NTLM。
已安装服务。向服务控制管理器注册服务时，将生成审核日志。审核日志包含有关服务名称、二进制文件、类型、启动类型和服务帐户的信息。

重要

尝试安装或加载安全系统扩展或服务是可能表示安全漏洞的关键系统事件。

事件编号	事件消息
4610	本地安全机构已加载验证包。
4611	已向本地安全机构注册了可信登录进程。
4614	安全帐户管理器加载了通知包。
4622	本地安全机构加载了安全包。
4697	系统中安装了一个服务。

事件量：低。与在客户端计算机或成员服务器上相比，在域控制器上生成安全系统扩展事件的频率更高。
默认值： 无审核。

展开审核系统完整性策略

审核系统完整性策略确定 OS 是否审核违反安全子系统完整性的事件。违反安全子系统完整性的活动包括：

由于审核系统失败，已审核事件会丢失。
进程在尝试模拟客户端、回复客户端地址空间、读取客户端地址空间或从客户端地址空间写入时使用无效的本地过程调用（LPC）端口。
检测到 RPC 完整性冲突。
检测到包含可执行文件的无效哈希值的代码完整性冲突。
加密任务被执行。

重要

安全子系统完整性的违规是严重的，可能表示存在潜在的安全攻击的迹象。

事件编号	事件消息
4612	已用尽分配给审核消息队列的内部资源，导致无法进行某些审核。
4615	LPC 端口的使用无效。
4618	发生了受监视的安全事件模式。
4816	RPC 在解密传入的消息时检测到完整性违规。
5038	代码完整性确定文件的图像哈希无效。文件可能由于未经授权的修改而损坏，或者无效的哈希值可能表示潜在的磁盘设备错误。
5056	已执行加密自测试。
5057	加密基元操作失败。
5060	验证操作失败。
5061	加密操作。
5062	已执行内核模式加密自测试。
6281	代码完整性确定图像文件的页哈希无效。在没有页面哈希的情况下，该文件可能未正确签名，或者由于未经授权的修改而损坏。无效哈希可能指示潜在的磁盘设备错误。此事件仅记录在运行受支持的 Windows OS 版本的计算机上。

事件量：低。
默认值：成功和失败。

全局对象访问

全局对象访问审核策略设置允许管理员根据对象类型为文件系统或注册表定义计算机 SACL。然后，指定的 SACL 会自动应用于该类型的每个对象。

审核员可以通过查看全局对象访问审核策略设置的内容来证明系统中的每个资源都受到审核策略的保护。例如，如果审核员看到名为“跟踪组管理员所做的所有更改”的策略设置，则他们知道此策略生效。

资源 SACL 也可用于诊断场景。例如，将全局对象访问审核策略设置为记录特定用户的所有活动，并使策略能够跟踪文件系统或注册表的“拒绝访问”事件，可以帮助管理员快速识别系统中拒绝用户访问的对象。

如果在策略的属性页上选中“ 定义此策略设置 ”复选框，请选择“ 配置”，则可以将用户或组添加到全局 SACL。这使您可以为文件系统的每种对象类型定义计算机 SACL。然后，指定的 SACL 会自动应用于每个文件系统对象类型。
展开文件系统（全局对象访问审核）策略

使用文件系统（全局对象访问审核）策略可以在文件系统上为整个计算机配置全局 SACL。

如果计算机上同时配置了文件或文件夹 SACL 和全局 SACL，则通过组合文件或文件夹 SACL 和全局 SACL 来派生有效的 SACL。这意味着，如果活动与文件或文件夹 SACL 或全局 SACL 匹配，则会生成审核事件。
- 事件量：取决于有效的 SACL 和用户活动级别而变化。
扩展注册表（全局对象访问审核）策略

使用 注册表（全局对象访问审核） 策略可以在计算机的注册表上配置全局 SACL。

如果计算机上同时配置了注册表 SACL 和全局 SACL，则通过组合注册表 SACL 和全局 SACL 来派生有效的 SACL。这意味着，当活动与注册表项 SACL 或全局 SACL 匹配时，将生成审核事件。
- 事件量：取决于有效的 SACL 和用户活动级别而变化。

事件编号	事件消息
4672	已向新的登录分配特殊权限。
4673	调用了特权服务。
4674	尝试对特权对象执行操作。

通过

高级审核策略配置

反馈

其他资源