高级安全审核策略设置 (Windows 10)

此面向 IT 专业人员的参考提供有关以下内容的信息:

  • Windows 中可用的高级审核策略设置
  • 这些设置生成的审核事件。

安全 设置\高级审核策略配置下的安全审核策略 设置可帮助组织通过跟踪精确定义的活动来审核重要业务相关和安全相关规则的合规性,例如:

  • 组管理员修改了包含财务信息的服务器上的设置或数据。
  • 已定义组中的员工已访问重要文件。
  • 正确的系统访问控制列表 (SACL) (作为针对未检测到的访问的可验证安全措施)应用于以下任一项:
    • 每个文件和文件夹
    • 计算机上的注册表项
    • 文件共享。

可以通过本地计算机上的本地安全策略管理单元 (secpol.msc) 或使用 组策略 来访问这些审核策略设置。

这些高级审核策略设置允许仅选择要监视的行为。 可以排除以下类型行为的审核结果:

  • 这与你无关或无关
  • 这会产生过多的日志条目。

此外,由于可以使用域组策略对象应用安全审核策略,因此可以相对简单地修改、测试审核策略设置并将其部署到选定的用户和组。 安全设置\高级审核策略配置下的审核策略设置分为以下类别:

帐户登录

配置此类别中的策略设置有助于记录在域控制器或本地安全帐户管理器上对帐户数据进行身份验证的尝试, (SAM) 。 与登录和注销策略设置和事件不同,帐户登录设置和事件侧重于使用的帐户数据库。 此类别包括以下子类别:

帐户管理

此类别中的安全审核策略设置可用于监视对用户和计算机帐户和组的更改。 此类别包括以下子类别:

详细跟踪

详细跟踪安全策略设置和审核事件可用于以下目的:

  • 监视该计算机上的单个应用程序和用户的活动
  • 了解如何使用计算机。

此类别包括以下子类别:

DS 访问

DS Access 安全审核策略设置提供访问和修改Active Directory 域服务 (AD DS) 中的对象尝试的详细审核线索。 这些审核事件仅在域控制器上记录。 此类别包括以下子类别:

登录/注销

登录/注销安全策略设置和审核事件允许你跟踪以交互方式或通过网络登录到计算机的尝试。 这些事件对于跟踪用户活动和识别网络资源的潜在攻击特别有用。 此类别包括以下子类别:

对象访问

使用对象访问策略设置和审核事件,可以跟踪尝试访问网络或计算机上的特定对象或对象类型。 若要审核访问文件、目录、注册表项或任何其他对象的尝试,请为成功和/或失败事件启用相应的对象访问审核子类别。 例如,需要启用文件系统子类别来审核文件操作;需要启用注册表子类别才能审核注册表访问。

证明这些审核策略对外部审核员有效更为困难。 没有简单的方法来验证是否在所有继承的对象上设置了正确的 ACL。 若要解决此问题,请参阅 全局对象访问审核

此类别包括以下子类别:

策略更改

策略更改审核事件允许跟踪对本地系统或网络上重要安全策略的更改。 由于策略通常由管理员建立以帮助保护网络资源,因此跟踪更改 (或其尝试) 这些策略是网络安全管理的一个重要方面。 此类别包括以下子类别:

特权使用

为用户或计算机授予网络上的权限,以完成定义的任务。 权限 使用安全策略设置和审核事件可以跟踪对一个或多个系统上特定权限的使用情况。 此类别包括以下子类别:

系统

系统安全策略设置和审核事件允许跟踪计算机的以下系统级更改类型:

  • 未包含在其他类别中
  • 具有潜在的安全隐患。

此类别包括以下子类别:

全局对象访问审核

全局对象访问审核策略设置允许管理员为文件系统或注册表定义计算机系统访问控制列表 (SCL) 。 然后,指定的 SACL 会自动应用于该类型的每个对象。 审核员可以证明系统中的每个资源都受到审核策略的保护。 他们可以通过查看全局对象访问审核策略设置的内容来执行此任务。 例如,如果审核员看到名为“跟踪组管理员所做的所有更改”的策略设置,则他们知道此策略已生效。

资源 ACL 也可用于诊断方案。 例如,管理员可以通过以下方式快速识别系统中拒绝用户访问的对象:

  • 设置全局对象访问审核策略以记录特定用户的所有活动
  • 启用策略以跟踪文件系统或注册表的“拒绝访问”事件可能会有所帮助

备注

如果在计算机上配置了文件或文件夹 SACL 和全局对象访问审核策略设置 (或单个注册表设置 SACL 和全局对象访问审核策略设置) ,则通过组合文件或文件夹 SACL 和全局对象访问审核策略派生有效的 SACL。 这意味着,如果活动与文件或文件夹 SACL 或全局对象访问审核策略匹配,则会生成审核事件。

此类别包括以下子类别: