主要更改有哪些？

在 Windows Server® 2008 R2 和 Windows®7 中有許多審核增強(qiáng)功能，這些增強(qiáng)功能可提高安全審核日志中的詳細(xì)級(jí)別并簡(jiǎn)化審核策略的部署和管理。這些增強(qiáng)功能包括：

• 全局對(duì)象訪問審核。 在 Windows Server 2008 R2 和 Windows7 中，管理員可以為文件系統(tǒng)或注冊(cè)表定義計(jì)算機(jī)范圍系統(tǒng)訪問控制列表 (SACL)。然后將指定的 SACL 自動(dòng)應(yīng)用于該類型的每個(gè)對(duì)象。這對(duì)于驗(yàn)證計(jì)算機(jī)上的所有關(guān)鍵文件、文件夾以及注冊(cè)表設(shè)置是否受保護(hù)以及確定系統(tǒng)資源發(fā)生問題的時(shí)間，可能非常有用。
• “訪問原因”報(bào)告。 此訪問控制項(xiàng) (ACE) 列表提供的權(quán)限用于決定允許還是拒絕訪問對(duì)象。這對(duì)于描述允許或阻止出現(xiàn)特殊可審核事件的權(quán)限（如組成員身份），可能非常有用。
• 高級(jí)審核策略設(shè)置。 可以使用這 53 個(gè)新設(shè)置代替“本地策略\審核策略”下的九個(gè)基本審核設(shè)置，以允許管理員更加明確地以他們要審核的活動(dòng)類型為目標(biāo)，去掉了可能使審核日志難于管理和解密的不必要的審核活動(dòng)。

以下部分更加詳細(xì)地介紹這些增強(qiáng)功能。

這些審核增強(qiáng)功能有何功能？

在 WindowsXP 中，管理員具有九種類別的安全審核事件，他們可以用于監(jiān)視成功、失敗或者成功和失敗。這些事件范圍非常廣泛并且可以由各種類似操作觸發(fā)，其中一些可以生成大量事件日志項(xiàng)。

在 WindowsVista(R) 和 Windows Server2008 中，可審核事件的數(shù)量從 9 增加到 53，這使得管理員在可審核的事件數(shù)量和類型方面更具選擇性。但是，與九個(gè)基本的 WindowsXP 事件不同，這些新的審核事件未與組策略集成，并且只能使用 Auditpol.exe 命令行工具生成的登錄腳本進(jìn)行部署。

在 Windows Server 2008 R2 和 Windows7 中，所有審核功能都已經(jīng)與組策略集成。這允許管理員在組策略管理控制臺(tái) (GPMC) 或本地安全策略管理單元中為域、站點(diǎn)或組織單位 (OU) 配置、部署和管理這些設(shè)置。Windows Server 2008 R2 和 Windows7 更便于 IT 專業(yè)人士跟蹤網(wǎng)絡(luò)上進(jìn)行精確定義的重要活動(dòng)的時(shí)間。

Windows Server 2008 R2 和 Windows7 中的審核策略增強(qiáng)功能允許管理員連接業(yè)務(wù)規(guī)則和審核策略。例如，在域和 OU 的基礎(chǔ)上應(yīng)用審核策略設(shè)置將允許管理員描述規(guī)則的遵從性，例如：

• 跟蹤服務(wù)器上具有財(cái)務(wù)信息的所有組管理員活動(dòng)。
• 跟蹤已定義的員工組訪問的所有文件。
• 確認(rèn)在訪問時(shí)將正確的 SACL 應(yīng)用于每個(gè)文件、文件夾和注冊(cè)表項(xiàng)。

誰(shuí)會(huì)對(duì)該功能感興趣？

Windows Server 2008 R2 和 Windows7 中的審核增強(qiáng)功能支持對(duì)負(fù)責(zé)實(shí)現(xiàn)、維護(hù)和監(jiān)視組織的物理和信息資產(chǎn)的現(xiàn)行安全的 IT 專業(yè)人士的需要。

這些設(shè)置可以幫助管理員回答諸如以下內(nèi)容的問題：

• 誰(shuí)正在訪問我們的資產(chǎn)？
• 他們正在訪問哪些資產(chǎn)？
• 他們?cè)诤螘r(shí)何地訪問這些資產(chǎn)？
• 如何獲得訪問權(quán)限？

安全意識(shí)和取證跟蹤的期望是這些問題之后的重要?jiǎng)恿?。越?lái)越多的組織審核員要求并評(píng)估該信息的質(zhì)量。

是否有其他特殊注意事項(xiàng)？

很多特殊注意事項(xiàng)適用于與 Windows Server 2008 R2 和 Windows7 中與審核增強(qiáng)功能關(guān)聯(lián)的各種任務(wù)：

• 創(chuàng)建審核策略。 若要?jiǎng)?chuàng)建高級(jí) Windows 安全審核策略，必須在運(yùn)行 Windows Server 2008 R2 或 Windows7 的計(jì)算機(jī)上使用 GPMC 或本地安全策略管理單元。（安裝遠(yuǎn)程服務(wù)器管理工具之后，可以在運(yùn)行 Windows7 的計(jì)算機(jī)上使用 GPMC。）
• 應(yīng)用審核策略設(shè)置。 如果使用組策略應(yīng)用高級(jí)審核策略設(shè)置和全局對(duì)象訪問設(shè)置，則客戶端計(jì)算機(jī)必須運(yùn)行 Windows Server 2008 R2 或 Windows7。此外，只有運(yùn)行 Windows Server 2008 R2 或 Windows7 的計(jì)算機(jī)才能提供“訪問原因”報(bào)告數(shù)據(jù)。
• 開發(fā)審核策略模型。 若要計(jì)劃高級(jí)安全審核設(shè)置和全局對(duì)象訪問設(shè)置，必須使用以運(yùn)行 Windows Server 2008 R2 的域控制器為目標(biāo)的 GPMC。
• 分發(fā)審核策略。 開發(fā)包含高級(jí)安全審核設(shè)置的組策略對(duì)象 (GPO) 之后，可以使用運(yùn)行任何 Windows 服務(wù)器操作系統(tǒng)的域控制器對(duì)其進(jìn)行分發(fā)。但是，如果無(wú)法將運(yùn)行 Windows7 的客戶端計(jì)算機(jī)放在單獨(dú)的 OU 中，則應(yīng)該使用 Windows Management Instrumentation (WMI) 篩選以確保僅將高級(jí)策略設(shè)置應(yīng)用于運(yùn)行 Windows7 的客戶端計(jì)算機(jī)。

備注
還可以將高級(jí)審核策略設(shè)置應(yīng)用于運(yùn)行 WindowsVista 的客戶端計(jì)算機(jī)。但是，必須使用 Auditpol.exe 登錄腳本單獨(dú)為這些客戶端計(jì)算機(jī)創(chuàng)建和應(yīng)用審核策略。

重要事項(xiàng)
將“本地策略\審核策略”下的基本審核策略設(shè)置與高級(jí)審核策略配置下的高級(jí)設(shè)置一起使用可能會(huì)造成意外的結(jié)果。因此，不應(yīng)該將兩組審核策略設(shè)置組合使用。如果使用高級(jí)審核策略配置設(shè)置，則應(yīng)該啟用“本地策略\安全選項(xiàng)”下的“審核: 強(qiáng)制審核策略子類別設(shè)置(Windows Vista 或更高版本)替代審核策略類別設(shè)置”策略設(shè)置。這將通過(guò)強(qiáng)制忽略基本安全審核來(lái)防止類似設(shè)置之間的沖突。

此外，若要計(jì)劃和部署安全事件審核策略，管理員需要解決很多操作和戰(zhàn)略問題，包括：

• 為什么需要審核策略？
• 哪些活動(dòng)和事件對(duì)于組織最重要？
• 可以從審核策略中忽略哪些類型的審核事件？
• 希望占用管理員多少時(shí)間和網(wǎng)絡(luò)資源來(lái)生成、收集和存儲(chǔ)事件以及分析數(shù)據(jù)？

哪些版本包含此功能？

可以處理組策略的所有版本的 Windows Server 2008 R2 和 Windows7 都可以配置為使用這些安全審核增強(qiáng)功能。無(wú)法加入域的 Windows Server 2008 R2 和 Windows7 版本無(wú)法訪問這些功能。32 位和 64 位版本的 Windows7 之間的安全審核支持沒有任何差別。

此功能提供了哪些新用途？

Windows Server 2008 R2 和 Windows7 提供了以下新功能：全局對(duì)象訪問審核、“訪問原因”設(shè)置以及高級(jí)審核策略設(shè)置。

全局對(duì)象訪問審核

使用全局對(duì)象訪問審核，管理員可以為文件系統(tǒng)或注冊(cè)表定義每種對(duì)象類型的計(jì)算機(jī) SACL。然后將指定的 SACL 自動(dòng)應(yīng)用于該類型的每個(gè)對(duì)象。

審核員將能夠通過(guò)只查看全局對(duì)象訪問審核策略設(shè)置的內(nèi)容來(lái)證實(shí)系統(tǒng)中的每個(gè)資源受審核策略的保護(hù)。例如，策略設(shè)置“跟蹤組管理員所進(jìn)行的所有更改”將足以表明該策略有效。

資源 SACL 對(duì)于診斷方案也非常有用。例如，將全局對(duì)象訪問審核策略設(shè)置為記錄特定用戶的所有活動(dòng)以及在資源（文件系統(tǒng)、注冊(cè)表）中啟用“訪問失敗”審核策略將幫助管理員快速確定系統(tǒng)中的哪些對(duì)象拒絕用戶訪問。

備注
如果在計(jì)算機(jī)上配置了文件或文件夾 SACL 和全局對(duì)象訪問審核策略（或者單個(gè)注冊(cè)表設(shè)置 SACL 和全局對(duì)象訪問審核策略），則有效的 SACL 源于將文件或文件夾 SACL 和全局對(duì)象訪問審核策略組合。這意味著如果活動(dòng)與文件或文件夾 SACL 或者全局對(duì)象訪問審核策略匹配，則會(huì)生成一個(gè)審核事件。

“訪問原因”設(shè)置

Windows 中有多個(gè)事件，無(wú)論操作成功還是失敗都會(huì)進(jìn)行審核。這些事件通常包括用戶、對(duì)象和操作，但它們?nèi)鄙僭试S或拒絕該操作的原因。通過(guò)記錄原因、基于的特定權(quán)限以及某個(gè)人訪問企業(yè)資源的原因，在 Windows Server 2008 R2 和 Windows7 中改進(jìn)了取證分析和支持方案。

高級(jí)審核策略設(shè)置

在 Windows Server 2008 R2 和 Windows7 中，可以使用域組策略配置和部署增強(qiáng)的審核策略，這樣將降低管理成本和開銷，并極大地提高了安全審核的靈活性和效率。

以下部分介紹組策略的高級(jí)審核策略配置節(jié)點(diǎn)中可用的新事件和事件類別。

帳戶登錄事件

此類別中的事件幫助文檔域嘗試對(duì)帳戶數(shù)據(jù)、域控制器或本地安全帳戶管理器 (SAM) 進(jìn)行身份驗(yàn)證。與登錄和注銷事件（它們跟蹤訪問特殊計(jì)算機(jī)的嘗試）不同，此類別中的事件報(bào)告正在使用的帳戶數(shù)據(jù)庫(kù)。

帳戶管理事件

可以使用此類別中的設(shè)置監(jiān)視對(duì)用戶和計(jì)算機(jī)帳戶和組的更改。

設(shè)置	描述
用戶帳戶管理	審核對(duì)用戶帳戶的更改。
計(jì)算機(jī)帳戶管理	審核由對(duì)計(jì)算機(jī)帳戶的更改（如當(dāng)創(chuàng)建、更改或刪除計(jì)算機(jī)帳戶時(shí)）生成的事件。
安全組管理	審核由對(duì)安全組的更改生成的事件。
分發(fā)組管理	審核由對(duì)分發(fā)組的更改生成的事件。 備注 僅在域控制器上記錄此子類別中的事件。
應(yīng)用程序組管理	審核由對(duì)應(yīng)用程序組的更改生成的事件。
其他帳戶管理事件	審核由此類別中不涉及的其他用戶帳戶更改生成的事件。

詳細(xì)跟蹤的事件

可以使用詳細(xì)跟蹤的事件監(jiān)視各個(gè)應(yīng)用程序的活動(dòng)，以了解計(jì)算機(jī)的使用方式以及該計(jì)算機(jī)上用戶的活動(dòng)。

DS 訪問事件

DS 訪問事件提供對(duì)訪問和修改 Active Directory(R) 域服務(wù) (ADDS) 中對(duì)象的嘗試進(jìn)行較低級(jí)別的審核跟蹤。僅在域控制器上記錄這些事件。

登錄/注銷事件

使用登錄和注銷事件可以跟蹤以交互方式登錄計(jì)算機(jī)或通過(guò)網(wǎng)絡(luò)登錄計(jì)算機(jī)的嘗試。這些事件對(duì)于跟蹤用戶活動(dòng)以及標(biāo)識(shí)網(wǎng)絡(luò)資源上的潛在攻擊尤其有用。

對(duì)象訪問事件

使用對(duì)象訪問事件可以跟蹤網(wǎng)絡(luò)或計(jì)算機(jī)上訪問特定對(duì)象或?qū)ο箢愋偷膰L試。若要審核文件、目錄、注冊(cè)表項(xiàng)或任何其他對(duì)象，必須為成功和失敗事件啟用“對(duì)象訪問”類別。例如，審核文件操作需要啟用“文件系統(tǒng)”子類別，審核注冊(cè)表訪問需要啟用“注冊(cè)表”子類別。

證明該策略對(duì)于外部審核員有效非常困難。沒有簡(jiǎn)單的方法驗(yàn)證在所有繼承的對(duì)象上是否設(shè)置了正確的 SACL。

設(shè)置	描述
文件系統(tǒng)	審核用戶訪問文件系統(tǒng)對(duì)象的嘗試。僅對(duì)于具有 SACL 的對(duì)象，并且僅當(dāng)請(qǐng)求的訪問類型（如寫入、讀取或修改）以及進(jìn)行請(qǐng)求的帳戶與 SACL 中的設(shè)置匹配時(shí)才生成安全審核事件。
注冊(cè)表	審核訪問注冊(cè)表對(duì)象的嘗試。僅對(duì)于具有 SACL 的對(duì)象，并且僅當(dāng)請(qǐng)求的訪問類型（如讀取、寫入或修改）以及進(jìn)行請(qǐng)求的帳戶與 SACL 中的設(shè)置匹配時(shí)才生成安全審核事件。
內(nèi)核對(duì)象	審核訪問系統(tǒng)內(nèi)核（包括 Mutexes 和 Semaphores）的嘗試。只有具有匹配的 SACL 的內(nèi)核對(duì)象才生成安全審核事件。 備注 審核: 對(duì)全局系統(tǒng)對(duì)象的訪問進(jìn)行審核策略設(shè)置控制內(nèi)核對(duì)象的默認(rèn) SACL。
SAM	審核由訪問安全帳戶管理器 (SAM) 對(duì)象的嘗試生成的事件。
證書服務(wù)	審核 Active Directory 證書服務(wù) (AD CS) 操作。
生成的應(yīng)用程序	審核通過(guò)使用 Windows 審核應(yīng)用程序編程接口 (API) 生成事件的應(yīng)用程序。設(shè)計(jì)為使用 Windows 審核 API 的應(yīng)用程序使用此子類別記錄與其功能有關(guān)的審核事件。
句柄操作	審核當(dāng)打開或關(guān)閉對(duì)象句柄時(shí)生成的事件。只有具有匹配的 SACL 的對(duì)象才生成安全審核事件。
文件共享	審核訪問共享文件夾的嘗試。但是，當(dāng)創(chuàng)建、刪除文件夾或更改其共享權(quán)限時(shí)不生成任何安全審核事件。
詳細(xì)的文件共享	審核訪問共享文件夾上文件和文件夾的嘗試。“詳細(xì)的文件共享”設(shè)置在每次訪問文件或文件夾時(shí)記錄一個(gè)事件，而“文件共享”設(shè)置僅為客戶端和文件共享之間建立的任何連接記錄一個(gè)事件。“詳細(xì)的文件共享”審核事件包括有關(guān)用來(lái)授予或拒絕訪問的權(quán)限或其他條件的詳細(xì)信息的事件。
篩選平臺(tái)數(shù)據(jù)包丟棄	審核由 Windows 篩選平臺(tái) (WFP) 丟棄的數(shù)據(jù)包。
篩選平臺(tái)連接	審核 WFP 允許或阻止的連接。
其他對(duì)象訪問事件	審核由管理任務(wù)計(jì)劃程序作業(yè)或 COM+ 對(duì)象生成的事件。

策略更改事件

使用策略更改事件可以跟蹤對(duì)本地系統(tǒng)或網(wǎng)絡(luò)上重要安全策略的更改。由于策略通常是由管理員建立的，用于確保網(wǎng)絡(luò)資源的安全，因此任何更改或更改這些策略的嘗試都可能是網(wǎng)絡(luò)安全管理的重要方面。

權(quán)限使用事件

為用戶或計(jì)算機(jī)授予對(duì)網(wǎng)絡(luò)的權(quán)限以完成定義的任務(wù)。有了權(quán)限使用事件可以跟蹤一臺(tái)或多臺(tái)計(jì)算機(jī)上某些權(quán)限的使用。

系統(tǒng)事件

使用系統(tǒng)事件可以跟蹤對(duì)其他類別中不包含且有潛在安全隱患的計(jì)算機(jī)的高級(jí)更改。

原文地址

查看更多相關(guān)文章