監視 Active Directory 遭到危害的徵兆
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
第五項定律:自由的代價是永恆的警惕。 - 安全性管理 10 大定律
穩固的事件記錄監視系統是任何安全 Active Directory 設計的重要部分。 如果目標制定適當的事件記錄檔監視和警示,可能會早期發現許多電腦安全性危害。 獨立報告長期以來一直支援這項結論。 例如,2009 年 Verizon 資料外洩報告指出:
「事件監視和記錄分析明顯無效仍然是一個謎團。 偵測的機會在於:調查人員發現,有 66% 受害者的記錄中有足夠的證據能發現外洩,前提是他們要更勤奮地分析這些資源。」
由於缺乏監視作用中的事件記錄,在許多公司的安全性防禦計劃中,這仍是一致的弱點。 2012 年 Verizon 資料外洩報告發現,儘管 85% 的外洩事件需要數週的時間才會受到注意,但 84% 的受害者在其事件記錄檔中有外洩的證據。
Windows 稽核原則
以下是 Microsoft 官方企業支援部落格的連結。 這些部落格的內容提供稽核的相關報告、指引和建議,協助您增強 Active Directory 基礎結構的安全性,並成為設計稽核原則時的寶貴資源。
- 全域物件存取稽核有神奇力量 - 描述新增至 Windows 7 和 Windows Server 2008 R2 且名為進階稽核原則設定的控制機制,可讓您輕鬆設定您想要稽核的資料類型,而不需要雜亂的指令碼和 auditpol.exe。
- 介紹 Windows 2008 中的稽核變更 - 介紹 Windows Server 2008 中所做的稽核變更。
- Vista 和 2008 中的非經常性稽核技巧 - 說明 Windows Vista 和 Windows Server 2008 的有趣稽核功能,可用於針對問題進行疑難排解,或查看環境中發生的情況。
- Windows Server 2008 和 Windows Vista 中用於稽核的一站式商店 - 包含編譯 Windows Server 2008 和 Windows Vista 中所包含的稽核功能和資訊。
下列連結提供 Windows 8 和 Windows Server 2012 中 Windows 稽核改善的相關資訊,以及 Windows Server 2008 中 AD DS 稽核的相關資訊。
- 安全性稽核的新功能 - 提供 Windows 8 和 Windows Server 2012 中新安全性稽核功能的概觀。
- AD DS 稽核逐步指南 - 描述 Windows Server 2008 中新的 Active Directory Domain Services (AD DS) 稽核功能。 也提供實作這項新功能的程序。
Windows 稽核類別
在 Windows Vista 和 Windows Server 2008 之前,Windows 只有九個事件記錄檔稽核原則類別:
- 帳戶登入事件
- 帳戶管理
- 目錄服務存取
- 登入事件
- 物件存取
- 原則變更
- 權限使用
- 程序追蹤
- 系統事件
這九種傳統稽核類別包括稽核原則。 每個稽核原則類別可以針對成功、失敗或成功和失敗事件啟用。 其描述會包含在下一節中。
稽核原則類別描述
稽核原則類別可啟用下列事件記錄檔訊息類型。
稽核帳戶登入事件
稽核帳戶登入事件會報告每個安全性主體的執行個體 (例如,使用者、電腦或服務帳戶),當另一部電腦用來驗證帳戶時,會登入或登出一部電腦。 在網域控制站上驗證網域安全性主體帳戶時,會產生帳戶登入事件。 本機電腦上本機使用者的驗證會產生登入事件,該事件會記錄在本機安全性記錄檔中。 不會記錄任何帳戶登出事件。
此類別會產生許多「雜訊」,因為 Windows 在正常業務過程中,會不斷有帳戶登入和關閉本機和遠端電腦。 儘管有這種不便,但每個安全性計劃都應該包含此稽核類別的成功和失敗。
稽核帳戶管理
此稽核設定會決定是否要追蹤使用者和群組的管理。 例如,在建立、變更或刪除使用者或電腦帳戶、安全性群組或通訊群組時,應該追蹤使用者和群組。 當使用者或電腦帳戶重新命名、停用或啟用,以及當使用者或電腦密碼變更時,也應該追蹤使用者和群組。 您可以為新增至其他群組或從其他群組移除的使用者或群組產生事件。
稽核目錄服務存取
此原則設定會決定是否稽核對具有其自己指定系統存取控制清單 (SACL) 的 Active Directory 物件的安全性主體存取權。 一般而言,應該只在網域控制站上啟用此類別。 如果啟用,此設定會產生許多「雜訊」。
稽核登入事件
在本機電腦上驗證本機安全性主體時,會產生登入事件。 登入事件會記錄本機電腦上所發生的網域登入。 不會產生帳戶登出事件。 啟用時,登入事件會產生許多「雜訊」,但此原則仍應在任何安全性稽核計劃中預設啟用。
稽核物件存取
存取啟用稽核的後續定義物件時,物件存取可能會產生事件 (例如已開啟、已讀取、已重新命名、已刪除或已關閉)。 啟用主要稽核類別之後,系統管理員必須個別定義哪些物件已啟用稽核。 許多 Windows 系統物件都已啟用稽核,因此啟用此類別通常會在系統管理員定義任何項目之前開始產生事件。
這個類別「雜訊」非常多,且會為每個物件存取產生 5 到 10 個事件。 對於不熟悉物件稽核的系統管理員來說,很難以取得有用的資訊。 其應該只在需要時才啟用。
稽核原則變更
此原則設定會決定是否要在每次發生使用者權利指派原則、Windows 防火牆原則、信任原則或稽核策略變更時進行稽核。 所有電腦上都應該啟用此類別。 其產生非常少的「噪音」。
稽核特殊權限使用
Windows 中有數十個使用者權利和權限 (例如,以批次工作登入以及當成作業系統的一部分)。 此原則設定會決定是否要行使使用者權利或權限來稽核安全性主體的每個執行個體。 啟用此類別會產生許多「雜訊」,但有助於使用較高的權限來追蹤安全性主體帳戶。
稽核程序追蹤
此原則設定會決定是否稽核程式啟用、程序結束、處理重複和間接物件存取等事件的詳細程序追蹤資訊。 其適用於追蹤惡意使用者及其使用的程式。
啟用稽核程序追蹤會產生大量的事件,因此通常會設定為 [無稽核]。 不過,此設定可以在事件期間從啟動程序詳細記錄和啟動時間的回應,提供極大的好處。 對於網域控制站和其他單一角色基礎結構伺服器,可隨時安全地開啟此類別。 單一角色服務器不會在其職責的正常過程中產生太多程序追蹤流量。 因此,如果發生未經授權的事件,則可加以啟用來擷取未經授權的事件。
系統事件稽核
系統事件幾乎是一般 catch-all 類別,註冊的各種事件會影響電腦、其系統安全性或安全性記錄檔。 其中包含電腦關機和重新開機、電源失敗、系統時間變更、驗證套件初始化、稽核記錄清除、模擬問題,以及許多其他一般事件的事件。 一般而言,啟用此稽核類別會產生許多「雜訊」,但其會產生足夠的非常實用事件,因此不能建議不要加以啟用。
進階稽核原則
從 Windows Vista 和 Windows Server 2008 開始,Microsoft 藉由在每個主要的稽核類別目錄下建立子類別目錄,改進事件記錄檔類別目錄選取的方式。 子類別可讓稽核比使用主要類別更為精細。 您只能使用子類別,啟用特定主要類別的部分,並略過產生沒有用的事件。 每個稽核原則子類別可以針對成功、失敗或成功和失敗事件啟用。
若要列出所有可用的稽核子類別,請檢閱群組原則物件中的進階稽核原則容器,或在執行 Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 8、Windows 7 或 Windows Vista 的任何電腦上輸入下列命令:
auditpol /list /subcategory:*
若要在執行 Windows Server 2012、Windows Server 2008 R2 或 Windows 2008 的電腦上取得目前設定的稽核子類別清單,請輸入下列命令:
auditpol /get /category:*
下列螢幕擷取畫面顯示列出目前稽核原則的 auditpol.exe 範例。
注意
群組原則不一定會正確報告所有已啟用稽核原則的狀態,而 auditpol.exe 則可做到。 如需更多詳細資料,請參閱在 Windows 7 和 2008 R2 中取得有效稽核原則。
每個主要類別都有多個子類別。 以下是類別清單、其子類別及其函式的描述。
稽核子類別描述
稽核原則子類別可啟用下列事件記錄檔訊息類型:
帳戶登入
認證驗證
這個子類別會報告針對使用者帳戶登入要求所提交的認證驗證測試結果。 這些事件會發生在認證授權的電腦上。 針對網域帳戶,網域控制站是經授權的;對於本機帳戶,本機電腦是經授權的。
在網域環境中,大部分的帳戶登入事件都會記錄在網域帳戶授權的網域控制站安全性記錄中。 不過,使用本機帳戶來登入時,這些事件可能會發生在組織中的其他電腦上。
Kerberos 服務票證作業
此子類別會報告 Kerberos 票證要求程序在網域帳戶授權的網域控制站上所產生的事件。
Kerberos 驗證服務
此子類別會報告 Kerberos 驗證服務所產生的事件。 這些事件會發生在認證授權的電腦上。
其他帳戶登入事件
此子類別會報告針對與認證驗證或 Kerberos 票證無關的使用者帳戶登入要求所提交的認證時所發生的事件。 這些事件會發生在認證授權的電腦上。 針對網域帳戶,網域控制站是經授權的,而針對本機帳戶,本機電腦是經授權的。
在網域環境中,大部分的帳戶登入事件都會記錄在網域帳戶授權的網域控制站安全性記錄中。 不過,使用本機帳戶來登入時,這些事件可能會發生在組織中的其他電腦上。 範例可包括下列各項:
- 遠端桌面服務工作階段中斷連線
- 新的遠端桌面服務工作階段
- 鎖定和解除鎖定工作站
- 叫用螢幕保護裝置
- 關閉螢幕保護裝置
- 偵測 Kerberos 重新執行攻擊,其中會收到兩次具有相同資訊的 Kerberos 要求
- 授與使用者或電腦帳戶無線網路的存取權
- 存取授與使用者或電腦帳戶有線 802.1x 網路的存取權
帳戶管理
使用者帳戶管理
此子類別會報告使用者帳戶管理的每個事件,例如:
- 已建立、變更或刪除使用者帳戶
- 已重新命名、停用或啟用使用者帳戶
- 已設定或已變更密碼
如果啟用此稽核原則設定,系統管理員可以追蹤事件,以偵測使用者帳戶的惡意、意外和授權建立。
電腦帳戶管理
此子類別會報告每個電腦帳戶管理的事件,例如建立、變更、刪除、重新命名、停用或啟用電腦帳戶時。
安全性群組管理
此子類別會報告每個安全性群組管理的事件,例如當安全性群組建立、變更或刪除,或是當成員新增至安全性群組或從安全性群組中移除時。 如果啟用此稽核原則設定,系統管理員可以追蹤事件,以偵測安全性群組帳戶的惡意、意外和授權建立。
通訊群組管理
此子類別會報告每個通訊群組管理的事件,例如當通訊群組建立、變更或刪除,或是當成員新增至通訊群組或從通訊群組中移除時。 如果啟用此稽核原則設定,系統管理員可以追蹤事件,以偵測群組帳戶的惡意、意外和授權建立。
應用程式群組管理
此子類別會報告每個電腦上應用程式群組管理的事件,例如當應用程式群組建立、變更或刪除,或是當成員新增至應用程式群組或從應用程式群組中移除時。 如果啟用此稽核原則設定,系統管理員可以追蹤事件,以偵測應用程式群組帳戶的惡意、意外和授權建立。
其他帳戶管理事件
此子類別會報告其他帳戶管理事件。
詳細的程序追蹤
詳細的程序追蹤監視包括建立及終止程序。
程序建立
此子類別會報告程序建立,以及建立程序的使用者或程式名稱。
程序終止
此子類別會報告程序何時終止。
DPAPI 活動
此子類別會報告加密或解密對資料保護應用程式開發介面 (DPAPI) 的呼叫。 DPAPI 可用來保護秘密資訊,例如儲存的密碼和金鑰資訊。
RPC 事件
此子類別會報告遠端程序呼叫 (RPC) 連線事件。
目錄服務存取
目錄服務存取
此子類別會在存取 AD DS 物件時進行報告。 只有已設定 SACL 的物件,以及只有在以符合 SACL 項目的方式加以存取時,才會產生稽核事件。 這些事件類似於舊版 Windows Server 中的目錄服務存取事件。 此子類別僅適用於網域控制站。
目錄服務變更
此子類別會報告 AD DS 中物件的變更。 所報告的變更類型為在物件上執行的建立、修改、移動及取消刪除作業。 適當情況下,目錄服務變更稽核會指出已變更物件的變更屬性舊值和新值。 只有具有 SACL 的物件,以及只有在以符合其 SACL 項目的方式加以存取時,才會產生稽核事件。 某些物件和屬性不會因為結構描述中物件類別上的設定而產生稽核事件。 此子類別僅適用於網域控制站。
目錄服務複寫
此子類別會報告兩個網域控制站之間的複寫開始和結束時間。
詳細目錄服務複寫
此子類別會報告網域控制站之間所複寫資訊的詳細資訊。 這些事件的數量可能會很高。
登入/登出
登入
此子類別會在使用者嘗試登入系統時進行報告。 這些事件會發生在存取的電腦上。 針對互動式登入,會在使用者登入的電腦上產生這些事件。 如果發生網路登入以存取共用,則會在裝載所存取資源的電腦上產生這些事件。 如果此設定是設定為 [無稽核],則很難或無法判斷哪些使用者已存取或嘗試存取組織電腦。
網路原則伺服器
此子類別會報告 RADIUS (IAS) 和網路存取保護 (NAP) 使用者存取要求所產生的事件。 這些要求可能為 [授與]、[拒絕]、[捨棄]、[隔離]、[鎖定] 和 [解除鎖定]。 稽核此設定會導致 NPS 和 IAS 伺服器上出現中量或大量的記錄。
IPsec 主要模式
此子類別會在主要模式交涉期間報告網際網路金鑰交換 (IKE) 通訊協定及已驗證網際網路通訊協定 (AuthIP) 的結果。
IPsec 延伸模式
此子類別會在擴充模式交涉期間報告 AuthIP 的結果。
其他登入/登出事件
此子類別會報告其他登入和登出相關事件,例如遠端桌面服務工作階段中斷連線和重新連線、使用 RunAs 在不同的帳戶下執行程序,以及鎖定和解除鎖定工作站。
登出
此子類別會在使用者登出系統時進行報告。 這些事件會發生在存取的電腦上。 針對互動式登入,會在使用者登入的電腦上產生這些事件。 如果發生網路登入以存取共用,則會在裝載所存取資源的電腦上產生這些事件。 如果此設定是設定為 [無稽核],則很難或無法判斷哪些使用者已存取或嘗試存取組織電腦。
帳戶鎖定
此子類別會在使用者帳戶因嘗試登入失敗多次而遭到鎖定時進行報告。
IPsec 快速模式
此子類別會在快速模式交涉期間報告 IKE 通訊協定和 AuthIP 的結果。
特殊登入
此子類別會在使用特殊登入時進行報告。 特殊登入是具有系統管理員對等權限的登入,可用來將程序提升至較高層級。
原則變更
稽核原則變更
此子類別會報告稽核原則中的變更,包括 SACL 變更。
驗證原則變更
此子類別會報告驗證原則中的變更。
授權原則變更
此子類別會報告授權原則中的變更,包括權限 (DACL) 變更。
MPSSVC 規則層級原則變更
此子類別會報告 Microsoft Protection Service (MPSSVC.exe) 所使用的原則規則變更。 Windows 防火牆會使用此服務。
篩選平台原則變更
此子類別會報告從 WFP 新增及移除物件,包括啟動篩選。 這些事件的數量可能會很高。
其他原則變更事件
此子類別會報告其他類型的安全性原則變更,例如設定信賴平台模組 (TPM) 或密碼編譯提供者。
權限使用
權限使用同時涵蓋敏感性和非敏感性權限。
敏感性權限使用
此子類別會在使用者帳戶或服務使用敏感性權限時進行報告。 敏感性權限包含下列使用者權利:
- 作為作業系統的一部分
- 備份檔案及目錄
- 建立權杖物件、偵錯程式
- 讓電腦及使用者帳戶受信賴,以進行委派
- 產生安全性稽核,在驗證之後模擬用戶端
- 載入及解除載入裝置驅動程式
- 管理稽核及安全性記錄檔
- 修改韌體環境值
- 取代程序層級權杖、還原檔案和目錄
- 取得檔案或其他物件的擁有權。
稽核此子類別將會建立大量的事件。
非機密特殊權限使用
此子類別會在使用者帳戶或服務使用非敏感性權限時進行報告。 非敏感性權限包含下列使用者權利:
- 存取認證管理員做為信任的呼叫者
- 從網路存取這台電腦
- 將工作站新增至網域
- 調整處理序的記憶體配額
- 允許本機登入
- 允許透過遠端桌面服務登入
- 略過周遊檢查
- 變更系統時間
- 建立分頁檔
- 建立通用物件
- 建立永久共用物件
- 建立符號連結
- 拒絕從網路存取這部電腦
- 拒絕以批次工作登入
- 拒絕以服務方式登入
- 拒絕本機登入
- 拒絕透過遠端桌面服務登入
- 強制從遠端系統進行關閉
- 增加處理程序工作組
- 增加排程優先順序
- 鎖定記憶體中的分頁
- 以批次工作登入
- 登入為服務
- 修改物件標籤
- 執行磁碟區維護工作
- 設定檔單一程序
- 設定檔系統效能
- 從擴充座移除電腦
- 關閉系統
- 同步處理目錄服務資料。
稽核此子類別將會建立非常大量的事件。
其他許可權使用事件
目前未使用此安全性原則設定。
物件存取
[物件存取] 類別包含 [檔案系統] 和 [登錄] 子類別。
File System
此子類別會在存取檔案系統物件時進行報告。 只有具有 SACL 的檔案系統物件,以及只有在以符合其 SACL 項目的方式加以存取時,才會產生稽核事件。 此原則設定本身不會對任何事件進行稽核。 其會決定是否要稽核具有指定系統存取控制清單 (SACL) 檔案系統物件的使用者事件,以有效地進行稽核。
如果稽核物件存取設定是設定為 [成功],則每次使用者成功存取具有指定 SACL 的物件時,都會產生稽核項目。 如果此原則設定是設定為 [失敗],則每次使用者嘗試存取具有指定 SACL 的物件失敗時,都會產生稽核項目。
登錄
此子類別會在存取登錄物件時進行報告。 只有具有 SACL 的登錄物件,以及只有在以符合其 SACL 項目的方式加以存取時,才會產生稽核事件。 此原則設定本身不會對任何事件進行稽核。
核心物件
此子類別會報告何時存取程序和 Mutex 等核心物件。 只有具有 SACL 的核心物件,以及只有在以符合其 SACL 項目的方式加以存取時,才會產生稽核事件。 一般而言,只有在啟用 AuditBaseObjects 或 AuditBaseDirectories 稽核選項時,才會提供核心物件。
SAM
此子類別會在存取本機安全性帳戶管理員 (SAM) 驗證資料庫物件時進行報告。
憑證服務
此子類別會在執行認證服務作業時進行報告。
已產生的應用程式
此子類別會在應用程式使用 Windows 稽核應用程式程式設計介面 (API) 嘗試產生稽核事件時進行報告。
控制碼操作
此子類別會在開啟或關閉物件的控制碼時進行報告。 只有具有 SACL 的物件才會產生這些事件,且只有在嘗試的控制碼作業符合 SACL 項目時才產生。 只會針對啟用對應物件存取子類別的物件類型 (例如檔案系統或登錄) 產生控制碼操作事件。
檔案共用
此子類別會在存取檔案共用時進行報告。 此原則設定本身不會對任何事件進行稽核。 其會決定是否要稽核具有指定系統存取控制清單 (SACL) 檔案共用物件的使用者事件,以有效地進行稽核。
篩選平台封包丟棄
此子類別會在 Windows 篩選平台 (WFP) 捨棄封包時進行報告。 這些事件的數量可能會很高。
篩選平台連線
此子類別會在 WFP 允許或封鎖連線時進行報告。 這些事件的數量可能會很高。
其他物件存取事件
此子類別會報告其他物件存取相關事件,例如工作排程器工作和 COM+ 物件。
系統
安全性狀態變更
此子類別會報告系統安全性狀態中的變更,例如當安全性子系統啟動時和停止時。
安全性系統延伸
此子類別會報告延伸模組程式碼載入,例如安全性子系統的驗證套件。
系統完整性
此子類別會報告安全性子系統的完整性違規。
IPsec 驅動程式
此子類別會報告網際網路通訊協定安全性 (IPsec) 驅動程式的活動。
其他系統事件
此子類別會報告其他系統事件。
如需關於子類別描述的詳細資訊,請參閱 Microsoft 安全性合規性管理員工具。
每個組織都應該檢閱先前涵蓋的類別和子類別,並啟用最適合其環境的類別。 在生產環境中進行部署之前,應一律測試稽核原則的變更。
設定 Windows 稽核原則
您可以使用群組原則、auditpol.exe、API 或登錄編輯來設定 Windows 稽核原則。 為大部分公司設定稽核原則的建議方法是群組原則或 auditpol.exe。 設定系統的稽核原則需要系統管理員層級帳戶權限或適當的委派權限。
注意
您必須將管理稽核及安全性記錄檔權限授與安全性主體 (系統管理員預設有此權限),才能修改個別資源的物件存取稽核選項,例如檔案、Active Directory 物件和登錄機碼。
使用群組原則設定 Windows 稽核原則
若要使用群組原則設定稽核原則,請設定位於 [電腦設定\Windows 設定\安全性設定\本機原則\稽核原則] 底下的適當稽核類別 (請參閱下列螢幕擷取畫面,以取得本機群組原則編輯器 (gpedit.msc) 的範例)。 每個稽核原則子類別可以針對 [成功]、[失敗] 或 [成功] 和失敗事件啟用。
您可以使用 Active Directory 或本機群組原則來設定進階稽核原則。 若要設定進階稽核原則,請設定位於 [電腦設定\Windows 設定\安全性設定\進階稽核原則] 底下的適當子類別 (請參閱下列螢幕擷取畫面,以取得本機群組原則編輯器 (gpedit.msc) 的範例)。 每個稽核原則子類別可以針對 [成功]、[失敗] 或 [成功] 和 [失敗] 事件啟用。
使用 Auditpol.exe 設定 Windows 稽核原則
Auditpol.exe (用於設定 Windows 稽核原則) 是在 Windows Server 2008 和 Windows Vista 中引進的。 一開始,只能使用 auditpol.exe 來設定進階稽核原則,但群組原則可用於 Windows Server 2012、Windows Server 2008 R2,或 Windows Server 2008、Windows 8 和 Windows 7。
Auditpol.exe 是命令列公用程式。 語法如下所示:
auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>
Auditpol.exe 語法範例:
auditpol /set /subcategory:"user account management" /success:enable /failure:enable
auditpol /set /subcategory:"logon" /success:enable /failure:enable
auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
注意
Auditpol.exe 會在本機設定進階稽核原則。 如果本機原則與 Active Directory 或本機群組原則有所衝突,則群組原則設定通常會優先於 auditpol.exe 設定。 當有多個群組或本機原則衝突存在時,只有一個原則會占上風 (也就是取代)。 稽核原則不會合併。
編寫 Auditpol 指令碼
針對想要使用指令碼而不是在每一個 auditpol.exe 命令中手動輸入來設定進階稽核原則的系統管理員,Microsoft 會提供範例指令碼。
注意群組原則不一定會正確報告所有已啟用稽核原則的狀態,而 auditpol.exe 則可做到。 如需更多詳細資料,請參閱在 Windows 7 和 Windows 2008 R2 中取得有效稽核原則。
其他 Auditpol 命令
Auditpol.exe 可用來儲存及還原本機稽核原則,以及檢視其他稽核相關命令。 以下是其他 auditpol 命令。
auditpol /clear - 用來清除及重設本機稽核原則
auditpol /backup /file:<filename> - 用來將目前的本機稽核原則備份至二進位檔案
auditpol /restore /file:<filename> - 用來將先前儲存的稽核原則檔案匯入本機稽核原則
auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - 如果啟用此稽核原則設定,則若安全性稽核因任何原因而無法記錄,就會造成系統立即停止 (使用 STOP: C0000244 {Audit Failed} 訊息)。 一般而言,當安全性稽核記錄已滿,且針對安全性記錄指定的保留方法為「不要覆寫事件」或「依天數覆寫事件」時,就無法記錄事件。 通常只會在需要更高保證安全性記錄所記錄的環境中啟用此原則。 如果啟用,系統管理員必須密切監看安全性記錄大小,並視需要輪替記錄。 您也可以修改安全性選項 [稽核:如果無法記錄安全性稽核則立即關閉系統] (default=disabled),以使用群組原則進行設定。
auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - 此稽核原則設定會決定是否要稽核全域系統物件的存取權。 如果啟用此原則,則會使用預設系統存取控制清單 (SACL) 建立系統物件,例如 Mutex、事件、旗號和 DOS 裝置。 大部分的系統管理員都認為稽核全域系統物件「雜訊」太多,且只有在可疑的惡意駭客攻擊時才會加以啟用。 只有具名物件會獲得 SACL。 如果稽核對象存取稽核原則 (或核心物件稽核子類別) 也已啟用,則會稽核這些系統物件的存取權。 進行此安全性設定時,在您重新啟動 Windows 之後,變更才會生效。 您也可以修改安全性選項稽核全域系統物件的存取權 (default=disabled),以使用群組原則來設定此原則。
auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - 此稽核原則設定會指定在建立核心物件時,指定具名的核心物件 (例如 Mutex 和旗號) 會受指定為 SCL。 AuditBaseDirectories 會影響容器物件,而 AuditBaseObject 則會影響無法包含其他物件的物件。
auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - 此稽核原則設定會指定當下列一或多個權限指派給使用者安全性權杖時,用戶端是否會產生事件:
- AssignPrimaryTokenPrivilege
- AuditPrivilege
- BackupPrivilege
- CreateTokenPrivilege
- DebugPrivilege
- EnableDelegationPrivilege
- ImpersonatePrivilege
- LoadDriverPrivilege
- RestorePrivilege
- SecurityPrivilege
- SystemEnvironmentPrivilege
- TakeOwnershipPrivilege
- TcbPrivilege。
如果未啟用此選項 (default=Disabled),則不會記錄 BackupPrivilege 和 RestorePrivilege 權限。 啟用此選項可能會使安全性記錄檔在備份作業期間雜訊非常多 (有時每秒有數百個事件)。 您也可以修改安全性選項稽核:稽核備份及還原權限的使用,以使用群組原則來設定此原則。
注意
此處提供的一些資訊取自 Microsoft Audit Option Type 和 Microsoft SCM 工具。
強制執行傳統稽核或進階稽核
在 Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 8、Windows 7 和 Windows Vista 中,系統管理員可以選擇啟用 9 個傳統類別或是使用子類別。 這是必須在每個 Windows 系統中建立的二進位選擇。 可以啟用主要類別或子類別;不能兩者皆啟用。
若要防止舊版傳統類別原則覆寫稽核原則子類別,您必須啟用強制稽核原則子類別設定 (Windows Vista 或更新版本),以覆寫位於[電腦設定\Windows 設定\安全性設定\本機原則\安全性選項] 底下的稽核原則類別設定原則設定。
建議您啟用及設定子類別,而不是 9 個主要類別。 這需要啟用群組原則設定(以允許子類別覆寫稽核類別),以及設定支援稽核原則的不同子類別。
您可以使用數種方法來設定稽核子類別,包括群組原則和命令列工具 auditpol.exe。