审核策略详细说明

系统知识分享

发布日期: 2024-12-04

文章字数: 3.5k

阅读时长: 12 分

阅读次数:

GUID：06ac6370-f55d-4986-b3a3-87824d479345
UTC 日期和时间: 2024-12-04T07:53:42Z
UNIX 时间戳：1733298826

本站点所分享的有关于Windows方面的知识，如有不正确的地方欢迎在评论区指正，并提出依据，欢迎各位转载文章

点击这里展开折叠/收缩

审核策略

点击这里展开折叠/收缩

1.审核策略更改
2.审核登录事件
3.审核对象访问
4.审核进程跟踪
5.审核目录服务访问
6.审核特权使用
7.审核系统事件
8.审核账户登录事件
9.审核账户管理

点击这里展开折叠/收缩

1.审核策略更改

点击这里展开折叠/收缩

审核策略更改

此安全设置确定 OS 是否对尝试更改用户权限分配策略、审核策略、帐户策略或信任策略的每一个实例进行审核。

管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。

如果启用了成功审核，则将在尝试更改用户权限分配策略、审核策略或信任策略成功时生成审核条目。

如果启用了失败审核，则将在无权进行请求的策略更改的帐户尝试更改用户权限分配策略、审核策略或信任策略时生成审核条目。

默认值:

审核策略更改: 成功
身份验证策略更改: 成功
授权策略更改: 无审核
MPSSVC 规则级别策略更改: 无审核
筛选平台策略更改: 无审核
其他策略更改事件: 无审核

重要信息: 若要获得对审核策略的更多控制，请使用“高级审核策略配置”节点中的设置。有关高级审核策略配置的详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkId=140969。

2.审核登录事件

点击这里展开折叠/收缩

审核登录事件

此安全设置确定 OS 是否对尝试登录此计算机或从中注销的用户的每个实例进行审核。

在已登录用户帐户的登录会话终止时，将生成注销事件。如果定义此策略设置，则管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。

客户端版本上的默认值:

服务器版本上的默认值:
登录: 成功，失败
注销: 成功
帐户锁定: 成功
IPsec 主模式: 无审核
IPsec 快速模式: 无审核
IPsec 扩展模式: 无审核
特殊登录: 成功
其他登录/注销事件: 无审核
网络策略服务器: 成功，失败

3.审核对象访问

点击这里展开折叠/收缩

审核对象访问

此安全设置确定 OS 是否对访问非 Active Directory 对象的用户尝试进行审核。仅当对象已指定了系统访问控制列表(SACL)，并且请求的访问类型(读取、写入或修改)和发出请求的帐户与 SACL 中的设置相匹配时才生成审核。

管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。

如果启用了成功审核，则每当任何帐户成功访问指定了匹配 SACL 的非 Active Directory 对象时都会生成审核条目。

如果启用了失败审核，则每当任何用户尝试访问指定了匹配 SACL 的非 Acitve Directory 对象失败时都会生成审核条目。

请注意，使用文件系统对象“属性”对话框中的“安全”选项卡，可以在该对象上设置 SACL。

默认值: 无审核。

4.审核进程跟踪

点击这里展开折叠/收缩

审核进程跟踪

此安全设置确定 OS 是否审核与进程相关的事件，例如进程创建、进程终止、句柄复制以及间接对象访问。

如果定义此策略设置，则管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。

如果启用了成功审核，则每当 OS 执行以上与进程相关的操作之一时都会生成审核条目。

如果启用了失败审核，则每当 OS 执行以上操作之一失败时都会生成审核条目。

默认值: 无审核\r

5.审核目录服务访问

点击这里展开折叠/收缩

审核目录服务访问

此安全设置确定 OS 是否对访问 Active Directory 对象的用户尝试进行审核。仅当对象已指定了系统访问控制列表(SACL)，并且请求的访问类型(读取、写入或修改)和发出请求的帐户与 SACL 中的设置相匹配时才生成审核。

管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。

如果启用了成功审核，则每当任何帐户成功访问指定了匹配 SACL 的 Acitve Directory 对象时都会生成审核条目。

如果启用了失败审核，则每当任何用户尝试访问指定了匹配 SACL 的 Active Directory 对象失败时都会生成审核条目。

客户端版本上的默认值:

目录服务访问: 无审核
目录服务更改: 无审核
目录服务复制: 无审核
详细的目录服务复制: 无审核

服务器版本上的默认值:

目录服务访问: 成功
目录服务更改: 无审核
目录服务复制: 无审核
详细的目录服务复制: 无审核

6.审核特权使用

点击这里展开折叠/收缩

审核权限使用

此安全设置确定是否审核执行用户权限的用户的每个实例。

如果定义此策略设置，可以指定是审核成功、审核失败还是根本不审核此类型的事件。成功审核在用户权限执行成功时生成审核条目。失败审核在用户权限执行失败时生成审核条目。

若要将该值设置为“无审核”，请在此策略设置的“属性”对话框中选中“定义这些策略设置”复选框，然后清除“成功”和“失败”复选框。

默认值: 无审核。

使用下列用户权限时不生成审核，即使为“审核权限使用”指定了成功审核或失败审核。启用对这些用户权限的审核往往会在安全日志中生成许多事件，这会影响计算机的性能。若要审核下列用户权限，请启用 FullPrivilegeAuditing 注册表项。

绕过遍历检查
调试程序
创建令牌对象
替换进程级令牌
生成安全审核
备份文件和目录
还原文件和目录

警告

错误地编辑注册表可能严重损坏系统。在更改注册表之前，应当备份计算机上的所有重要数据。

7.审核系统事件

点击这里展开折叠/收缩

审核系统事件

此安全设置确定 OS 是否对以下任何事件进行审核:

• 尝试更改系统时间
• 尝试安全启动或关闭系统
• 尝试加载可扩展身份验证组件
• 由于审核系统失败而导致已审核事件丢失
• 安全日志大小超过可配置的警告阈值级别。

如果定义此策略设置，则管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。

如果启用了成功审核，则每当 OS 成功执行以上操作之一时都会生成审核条目。

如果启用了失败审核，则每当 OS 尝试执行以上操作之一失败时都会生成审核条目。

默认值:
安全状态更改成功
安全系统扩展无审核
系统完整性成功，失败
IPsec 驱动程序无审核
其他系统事件成功，失败

8.审核账户登录事件

点击这里展开折叠/收缩

审核帐户登录事件

此安全设置确定 OS 是否在此计算机每次验证帐户凭据时进行审核。

在计算机对其具有权威性的帐户凭据进行验证时会生成帐户登录事件。域成员和未加入域的计算机对其本地帐户具有权威性；域控制器对该域中的帐户全都具有权威性。凭证验证可能支持本地登录，或者，对于域控制器上的 Active Directory 域帐户的情况，可能支持在另一台计算机上登录。由于凭据验证是无状态的，因此帐户登录事件没有相应的注销事件。

如果定义此策略设置，则管理员可以指定是仅审核成功、仅审核失败、同时审核成功和失败还是根本不审核这些事件(即既不审核成功也不审核失败)。

客户端版本上的默认值:

凭据验证: 无审核
Kerberos 服务票证操作: 无审核
其他帐户登录事件: 无审核
Kerberos 身份验证服务: 无审核

服务器版本上的默认值:

凭据验证: 成功
Kerberos 服务票证操作: 成功
其他帐户登录事件: 无审核
Kerberos 身份验证服务: 成功

9.审核账户管理

点击这里展开折叠/收缩

审核帐户管理

此安全设置确定是否审核计算机上的每个帐户管理事件。帐户管理事件示例包括:

创建、更改或删除用户帐户或组。
重命名、禁用或启用用户帐户。
设置或更改密码。
如果定义此策略设置，可以指定是审核成功、审核失败还是根本不审核事件类型。成功审核在任何帐户管理事件成功时生成审核条目。失败审核在任何帐户管理事件失败时生成审核条目。若要将该值设置为“无审核”，请在此策略设置的“属性”对话框中选中“定义这些策略设置”复选框，然后清除“成功”和“失败”复选框。

客户端版本上的默认值:

用户帐户管理: 成功
计算机帐户管理: 无审核
安全组管理: 成功
分发组管理: 无审核
应用程序组管理: 无审核
其他帐户管理事件: 无审核

服务器版本上的默认值:

用户帐户管理: 成功
计算机帐户管理: 成功
安全组管理: 成功
分发组管理: 无审核
应用程序组管理: 无审核
其他帐户管理事件: 无审核