Windows 7和Windows Server 2008的本地組策略設置和審計策略允許方案提供商能更多地控制客戶環(huán)境下的事件和設置權(quán)限，所以重要的是了解如何配置并合理使用這些設置和策略。

一些Windows 7版本（專業(yè)版、旗艦版和企業(yè)版）和Windows Server 2008的所有版本都支持訪問53種不同的成功和失敗事件審核設置。 本系列文章將深入討論這些有用的設置，并解釋在何種情況下需要你去改變這些設置。

圖1顯示系統(tǒng)審計策略的基本界面。在Windows 7或Windows Server 2008開始菜單搜索欄里輸入“gpedit.msc”，來打開本地組策略編輯器，顯示可用的審計選項。

圖1：從早期Windows版本的9個類別記錄增加到10個，新增了全局項目訪問審計（其它類別的名稱也略有變化）。

如果使用Windows 7  Basic、Start、Home或者Home Premium版本，你將無法展開這些類別。因為這些類別下的審計控件在這些版本的操作系統(tǒng)中無法使用。但是，能使用所有類別的好處是能審計所有的子分類設置選項，本文的余下部分將討論這些子類別設置選項，所以即使你使用這些系統(tǒng)，閱讀這些知識對你也非常有益。

賬戶登錄

圖2：該圖顯示一個子類別的右擊菜單中的可用屬性窗口，該子類別是賬戶登錄審計控件中四個子類別中的一個。

你需要選中成功或失敗復選框來審計任一實際發(fā)生的事件。選中“配置”對話框，如其顯示的那樣，你能做的就是選中一個或兩個復選框。欲了解更多關(guān)于在域環(huán)境中創(chuàng)建、實施高級審計策略配置的信息，請訪問Technet article。 更多審核策略設置信息，請訪問Technet Security Audit Policy Reference。

賬戶訪問子類別設置

• 審計憑證驗證：當一個用戶帳號登錄申請需要提交憑證時，決定操作系統(tǒng)是否生成審計事件。通常情況下，域控制器會用到該設置，因為此項設置僅僅記錄發(fā)生在其它Windows機器上的本地賬戶登錄。
• 審計 Kerberos身份驗證：決定操作系統(tǒng)是否為Kerberos身份驗證TGT（票證授予票證）請求生成審計事件。該請求主要發(fā)生在客戶機上。
• 審計Kerberos服務票據(jù)業(yè)務:決定操作系統(tǒng)是否為Kerberos服務票據(jù)請求生成審計事件（使用TGT獲取權(quán)限來訪問Kerberos控件下的其它資源）。該請求主要也發(fā)生在客戶機上。
• 審計其它賬戶登錄事件：跟蹤各種其它事件，這些事件有關(guān)之前提及項目以外的用戶登錄憑證請求。這些項目包括遠程桌面登錄和斷開、鎖定或解鎖定一個工作站、進入或退出一個安全屏幕保護程序或檢測一個重復攻擊的Kerberos（即反復提交相同的信息）。無線網(wǎng)絡訪問也屬于這個子類別。

組策略設置：賬戶管理

圖3：賬戶管理審計設置可以用來審計用戶及計算機賬戶和組的變化

以下是賬戶管理的子類別設置：

• 審計應用組管理：當執(zhí)行應用組管理任務時，決定操作系統(tǒng)是否生成審計事件。這類任務包括創(chuàng)建、修改、刪除一個應用組和添加或刪除一個組成員。
• 審計計算機賬戶管理：當創(chuàng)建、修改或刪除一個計算機賬戶時，決定操作系統(tǒng)是否生成審計事件。該設置用在域環(huán)境的計算機上監(jiān)控賬戶相關(guān)的變化。
• 審計分配組管理：當執(zhí)行分配組管理任務時，決定操作系統(tǒng)是否生成審計事件。該設置只在運行Windows Server 2008的計算機上有效。
• 審計其他賬戶管理事件：當訪問一個賬戶密碼哈希（主要發(fā)生在活動目錄遷移工具移動密碼數(shù)據(jù)時）或當密碼檢測策略API被調(diào)用時（可能是惡意的），決定操作系統(tǒng)是否生成審計事件。
• 審計安全組管理：當執(zhí)行各種組管理任務，包括創(chuàng)建、改變或刪除一個安全組、添加或刪除一個安全組成員或者改變一個安全組的相關(guān)類型時，決定操作系統(tǒng)是否生成審計事件。（安全組常用于管理訪問控制權(quán)限和分布列表）
• 審計用戶賬號管理：當各類用戶賬戶管理任務發(fā)生時，決定操作系統(tǒng)是否生成審核事件。其中包括創(chuàng)建、改變、刪除、重命名、禁用或啟用和鎖定或解除鎖定用戶賬戶。其他項目包括設置和修改用戶賬戶密碼、為用戶賬戶添加SID歷史、設置目錄服務修復模式密碼（僅管理員）、修改管理員組中賬戶權(quán)限和備份或恢復憑證管理器憑證。

詳細追蹤

圖4：詳細追蹤子類別，它極少使用，能審計低級別的系統(tǒng)活動，可能生成大量的事件。

以下是詳細追蹤的子類別：

• 審計DPAPI活動：決定操作系統(tǒng)是否生成審核事件，當加密或解密指令調(diào)用數(shù)據(jù)保護應用接口（DPAPI）時。DPAPI用于保護敏感數(shù)據(jù)，如存儲的密碼和密鑰。
• 審計進程創(chuàng)建：當進程創(chuàng)建，并且有創(chuàng)建它的用戶或程序名時，決定操作系統(tǒng)是否產(chǎn)生審計事件。該類別通常用于對計算機行為和用戶活動做級別的分析。
• 審計進程終止：當進程終止時（這里試圖在終止失敗時追蹤失敗報告) 決定操作系統(tǒng)是否生成審計事件。該類別通常用于計算機行為和用戶活動的低級別分析。
• 審計RPC事件：當入站遠程程序指令連接啟動時決定操作系統(tǒng)是否生成審計事件。該子類別極少使用。

活動目錄域服務訪問

圖5：這些設置審計與活動目錄域服務對象的訪問和修改有關(guān)的各種活動，而且這些設置只會在域控制器上生成審計事件。在這里，我們將不詳細討論該類別，因為該類別的內(nèi)容僅與Windows 2008 R2 Server有關(guān)。

原文：http://www.searchsv.com.cn/showcontent_44934.htm

【編輯推薦】

1. 專題：Windows組策略 系統(tǒng)管理員手中的管理利器
2. 五個必須立刻實施的Windows組策略選項
3. 組策略規(guī)劃和部署指南