高级审核策略设置
在 Windows Server 2008 R2 和 Windows7 中,可以使用域组策略配置和部署增强的审核策略,这样将降低管理成本和开销,并极大地提高了安全审核的灵活性和效率。
以下部分介绍组策略的高级审核策略配置节点中可用的新事件和事件类别。
帐户登录事件
此类别中的事件帮助文档域尝试对帐户数据、域控制器或本地安全帐户管理器 (SAM) 进行身份验证。与登录和注销事件(它们跟踪访问特殊计算机的尝试)不同,此类别中的事件报告正在使用的帐户数据库。
设置描述
凭据验证审核由对用户帐户登录凭据的验证测试生成的事件。
Kerberos服务票证操作审核 Kerberos 服务票证请求生成的事件。
其他帐户登录事件审核由响应为用户帐户登录提交的凭据请求(非凭据验证或 Kerberos 票证)生成的事件。
Kerberos 身份验证服务审核由 Kerberos 身份验证票证授予票证 (TGT) 请求生成的事件。
帐户管理事件
可以使用此类别中的设置监视对用户和计算机帐户和组的更改。
设置描述
用户帐户管理审核对用户帐户的更改。
计算机帐户管理审核由对计算机帐户的更改(如当创建、更改或删除计算机帐户时)生成的事件。
安全组管理审核由对安全组的更改生成的事件。
分发组管理审核由对分发组的更改生成的事件。
备注
仅在域控制器上记录此子类别中的事件。
应用程序组管理审核由对应用程序组的更改生成的事件。
其他帐户管理事件审核由此类别中不涉及的其他用户帐户更改生成的事件。
详细跟踪的事件
可以使用详细跟踪的事件监视各个应用程序的活动,以了解计算机的使用方式以及该计算机上用户的活动。
设置描述
进程创建审核当创建或启动进程时生成的事件。还要审核创建该进程的应用程序或用户的名称。
进程终止审核当进程结束时生成的事件。
DPAPI 活动审核当对数据保护应用程序接口 (DPAPI) 进行加密或解密请求时生成的事件。DPAPI 用来保护机密信息,如存储的密码和密钥信息。有关 DPAPI 的详细信息,请参阅 Windows 数据保护(可能为英文网页)。
RPC 事件审核入站远程过程调用 (RPC) 连接。
DS 访问事件
DS 访问事件提供对访问和修改 Active Directory(R) 域服务 (ADDS) 中对象的尝试进行较低级别的审核跟踪。仅在域控制器上记录这些事件。
设置描述
目录服务访问审核当访问 AD DS 对象时生成的事件。
仅记录具有匹配的 SACL 的 AD DS 对象。
此子类别中的事件与以前版本的 Windows 中可用的目录服务访问事件类似。
目录服务更改审核由对 AD DS 对象的更改生成的事件。当创建、删除、修改、移动或恢复对象时记录事件。
目录服务复制审核两个 AD DS 域控制器之间的复制。
详细的目录服务复制审核由域控制器之间详细的 AD DS 复制生成的事件。
登录/注销事件
使用登录和注销事件可以跟踪以交互方式登录计算机或通过网络登录计算机的尝试。这些事件对于跟踪用户活动以及标识网络资源上的潜在攻击尤其有用。
设置描述
登录审核由用户帐户在计算机上的登录尝试生成的事件。
注销审核由关闭登录会话生成的事件。这些事件发生在所访问的计算机上。对于交互登录,在用户帐户登录的计算机上生成安全审核事件。
帐户锁定审核由登录锁定帐户的失败尝试生成的事件。
IPSec 主模式审核在主模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议 (AuthIP) 生成的事件。
IPSec 快速模式审核在快速模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议 (AuthIP) 生成的事件。
IPSec 扩展模式审核在扩展模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议 (AuthIP) 生成的事件。
特殊登录审核由特殊登录生成的事件。
其他登录/注销事件审核与“登录/注销”类别中不包含的登录和注销有关的其他事件。
网络策略服务器审核由 RADIUS (IAS) 和网络访问保护 (NAP) 用户访问请求生成的事件。这些请求可以是授予、拒绝、放弃、隔离、锁定和解锁。
