权限使用事件
为用户或计算机授予对网络的权限以完成定义的任务。有了权限使用事件可以跟踪一台或多台计算机上某些权限的使用。
设置描述
敏感权限使用审核由使用敏感权限(用户权限)生成的事件,如充当操作系统的一部分、备份文件和目录、模拟客户端计算机或生成安全审核。
非敏感权限使用审核由使用非敏感权限(用户权限)生成的事件,如本地登录或使用远程桌面连接登录、更改系统时间或从扩展坞删除计算机。
其他权限使用事件未使用。
系统事件
使用系统事件可以跟踪对其他类别中不包含且有潜在安全隐患的计算机的高级更改。
设置描述
安全状态更改审核由计算机安全状态更改生成的事件。
安全系统扩展审核与安全系统扩展或服务有关的事件。
系统完整性审核违反安全子系统的完整性的事件。
IPSec 驱动程序审核由 IPsec 筛选器驱动程序生成的事件。
其他系统事件审核以下任何事件:
启动和关闭 Windows 防火墙。
由 Windows 防火墙处理的安全策略。
加密密钥文件和迁移操作。
主要更改有哪些?
在 Windows Server® 2008 R2 和 Windows®7 中有许多审核增强功能,这些增强功能可提高安全审核日志中的详细级别并简化审核策略的部署和管理。这些增强功能包括:
全局对象访问审核。 在 Windows Server 2008 R2 和 Windows7 中,管理员可以为文件系统或注册表定义计算机范围系统访问控制列表 (SACL)。然后将指定的 SACL 自动应用于该类型的每个对象。这对于验证计算机上的所有关键文件、文件夹以及注册表设置是否受保护以及确定系统资源发生问题的时间,可能非常有用。
“访问原因”报告。 此访问控制项 (ACE) 列表提供的权限用于决定允许还是拒绝访问对象。这对于描述允许或阻止出现特殊可审核事件的权限(如组成员身份),可能非常有用。
高级审核策略设置。 可以使用这 53 个新设置代替“本地策略\审核策略”下的九个基本审核设置,以允许管理员更加明确地以他们要审核的活动类型为目标,去掉了可能使审核日志难于管理和解密的不必要的审核活动。
以下部分更加详细地介绍这些增强功能。
这些审核增强功能有何功能?
在 WindowsXP 中,管理员具有九种类别的安全审核事件,他们可以用于监视成功、失败或者成功和失败。这些事件范围非常广泛并且可以由各种类似操作触发,其中一些可以生成大量事件日志项。
在 WindowsVista(R) 和 Windows Server2008 中,可审核事件的数量从 9 增加到 53,这使得管理员在可审核的事件数量和类型方面更具选择性。但是,与九个基本的 WindowsXP 事件不同,这些新的审核事件未与组策略集成,并且只能使用 Auditpol.exe 命令行工具生成的登录脚本进行部署。
在 Windows Server 2008 R2 和 Windows7 中,所有审核功能都已经与组策略集成。这允许管理员在组策略管理控制台 (GPMC) 或本地安全策略管理单元中为域、站点或组织单位 (OU) 配置、部署和管理这些设置。Windows Server 2008 R2 和 Windows7 更便于 IT 专业人士跟踪网络上进行精确定义的重要活动的时间。
Windows Server 2008 R2 和 Windows7 中的审核策略增强功能允许管理员连接业务规则和审核策略。例如,在域和 OU 的基础上应用审核策略设置将允许管理员描述规则的遵从性,例如:
跟踪服务器上具有财务信息的所有组管理员活动。
跟踪已定义的员工组访问的所有文件。
确认在访问时将正确的 SACL 应用于每个文件、文件夹和注册表项。
谁会对该功能感兴趣?
