進階安全性稽核原則設定

 

發行︰ 2016年8月

適用於： Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2012、Windows 8

此參考的 it 專業人員提供 Windows 作業系統中可用的進階稽核原則設定和它們所產生稽核事件的相關資訊。

53 安全性稽核原則設定，在 安全性設定 \ 進階稽核原則設定 來協助組織透過追蹤明確定義的活動，例如稽核是否符合商務相關和安全性相關的重要規則︰

• 群組系統管理員已修改的設定或包含財務資訊的伺服器上的資料。

• 定義群組內的員工存取重要檔案。

• 正確的系統存取控制清單 (SACL) 套用至電腦或檔案共用上每個檔案和資料夾或登錄機碼可驗證的防護，防止未偵測到的存取。

您可以透過 [本機安全性原則嵌入式管理單元 (secpol.msc) 在本機電腦上，或使用群組原則來存取這些稽核原則設定。

這些進階稽核原則設定可讓您選取您想要監視的行為。 您可以排除稽核結果行為的幾乎沒有任何問題或建立記錄項目數目過多的行為。 此外，因為您可以使用網域群組原則物件套用安全性稽核原則，稽核原則設定可加以修改、 測試及部署到選取的使用者和群組，以相對簡單。

設定進階安全性稽核原則設定時，事件會出現在執行支援的版本的 Windows 作業系統中所指定電腦上 適用於 Windows Server 2008 和 Windows Vista 另外清單在本主題的開頭。

稽核原則設定下的 安全性設定 \ 進階稽核原則設定 可分為以下類別︰

• 帳戶登入

  此類別中設定原則設定可協助您的文件嘗試驗證網域控制站上或在本機安全性帳戶管理員 (SAM) 帳戶資料。 不同於登入和登出的原則設定和事件，哪些追蹤會嘗試存取特定的電腦，設定與這個類別中的事件著重於使用的帳戶資料庫。 這個類別包含下列子類別︰

  • 稽核認證驗證

  • 稽核 Kerberos 驗證服務

  • 稽核 Kerberos 服務票證作業

  • 稽核其他登入/登出事件

• 帳戶管理

  安全性稽核的原則設定值，這個類別可用來監視使用者與電腦帳戶及群組的變更。 這個類別包含下列子類別︰

  • 稽核應用程式群組管理

  • 稽核的電腦帳戶管理

  • 稽核通訊群組管理

  • 稽核帳戶管理的其他事件

  • 稽核安全性群組管理

  • 稽核使用者帳戶管理

• 詳細的追蹤

  詳細的追蹤安全性原則設定和稽核事件可用來監視個別的應用程式和使用者在該電腦上的活動，並了解如何使用電腦。 這個類別包含下列子類別︰

  • 稽核 DPAPI 活動

  • 建立稽核程序

  • 稽核處理序終止

  • 稽核 RPC 事件

• DS 存取

  DS 存取安全性稽核原則設定提供詳盡的稽核記錄的嘗試存取和修改 Active Directory 網域服務 (AD DS) 中的物件。 這些事件會記錄只能在網域控制站的稽核。 這個類別包含下列子類別︰

  • 稽核詳細的目錄服務複寫

  • 稽核目錄服務存取

  • 稽核目錄服務變更

  • 稽核目錄服務複寫

• 登入/登出

  登入/登出安全性原則設定和稽核事件可讓您追蹤以互動方式或透過網路的電腦登入嘗試。 這些事件是特別有用，追蹤使用者活動，並識別潛在攻擊網路資源。 這個類別包含下列子類別︰

  • 稽核帳戶鎖定

  • 稽核 IPsec 延伸模式

  • 稽核 IPsec 主要模式

  • 稽核 IPsec 快速模式

  • 稽核登出

  • 稽核登入

  • 稽核網路原則伺服器

  • 稽核其他登入/登出事件

  • 稽核特殊登入

• 物件存取

  物件存取原則設定和稽核事件可讓您追蹤嘗試存取特定物件或類型的網路或電腦上的物件。 若要稽核嘗試存取檔案、 目錄、 登錄機碼或任何其他物件，您必須啟用適當物件存取稽核子類別目錄的成功及/或失敗的事件。 例如，檔案系統子類別必須啟用稽核檔案作業，並登錄 」 子類別必須啟用稽核登錄存取。

  證明這些稽核原則是作用中為外部的稽核員是更困難。 沒有簡單的方法可以確認所有繼承的物件上已設定適當的 Sacl。 若要解決這個問題，請參閱 No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'.。

  這個類別包含下列子類別︰

  • 稽核產生的應用程式

  • 稽核憑證服務

  • 稽核詳細的檔案共用

  • 稽核檔案共用

  • 稽核檔案系統

  • 篩選平台連線的稽核

  • 稽核篩選平台封包丟棄

  • 稽核控制代碼操作

  • 稽核核心物件

  • 稽核物件存取的其他事件

  • 稽核登錄

  • 稽核 SAM

• 原則變更

  原則變更稽核事件可讓您追蹤重要的安全性原則的本機系統或網路上的變更。 原則通常由管理員來協助安全的網路資源所建立的因為監視變更或嘗試變更這些原則可以是網路的安全性管理的重要層面。 這個類別包含下列子類別︰

  • 稽核稽核原則變更

  • 稽核驗證原則變更

  • 稽核授權原則變更

  • 篩選平台原則變更稽核

  • 稽核 MPSSVC 規則層級原則變更

  • 稽核原則變更的其他事件

• 特殊權限使用

  在網路上的權限會授與的使用者或電腦來完成定義的工作。 權限使用安全性原則設定和稽核事件可讓您追蹤特定的權限的使用上一個或多個系統。 這個類別包含下列子類別︰

  • 稽核非機密權限使用

  • 稽核機密的權限使用

  • 稽核特殊權限使用的其他事件

• System (系統)

  系統安全性原則設定和稽核事件可讓您追蹤不包含在其他類別，且具有潛在的安全性影響的電腦的系統層級變更。 這個類別包含下列子類別︰

  • 稽核 IPsec 驅動程式

  • 稽核的其他系統事件

  • 稽核安全性狀態變更

  • 稽核安全性系統延伸模組

  • 稽核系統完整性

• 全域物件存取

  全域物件存取稽核原則設定允許系統管理員定義的電腦系統存取控制清單 (Sacl) 每個物件類型的檔案系統或登錄。 指定的 SACL 會自動套用至該類型的每個物件。

  稽核員可以證明的系統中的每個資源受到稽核原則所檢視的全域物件存取稽核原則設定的內容。 例如，如果稽核人員看到名為 「 追蹤群組系統管理員所做的所有變更 」 的原則設定，他們知道這項原則已生效。

  資源 Sacl 也適合用於診斷案例。 例如，設定全域物件存取稽核原則，以特定使用者和啟用原則，來追蹤 「 拒絕存取 」 事件的檔案系統或登錄的所有活動都記錄可協助系統管理員快速識別系統中的物件拒絕使用者存取權。

  注意

  如果在電腦上設定檔案或資料夾 SACL 和全域物件存取稽核原則設定 （或單一登錄設定 SACL 以及全域物件存取稽核原則設定），有效的 SACL 被衍生自結合檔案或資料夾 SACL 和全域物件存取稽核原則。 這表示如果活動符合檔案或資料夾 SACL 或全域物件存取稽核原則，就會產生稽核事件。

  這個類別包含下列子類別︰

  • 檔案系統 (全域物件存取稽核)

  • 登錄 (全域物件存取稽核)