配置Windows 7审计与组策略设置

日期: 2011-01-18 作者:Ed Tittel翻译:周毅 来源:TechTarget中国 英文

Windows 7和Windows Server 2008的本地组策略设置和审计策略允许方案提供商能更多地控制客户环境下的事件和设置权限,所以重要的是了解如何配置并合理使用这些设置和策略。   一些Windows 7版本(专业版、旗舰版和企业版)和Windows Server 2008的所有版本都支持访问53种不同的成功和失败事件审核设置。 本系列文章将深入讨论这些有用的设置,并解释在何种情况下需要你去改变这些设置。   图1显示系统审计策略的基本界面。

在Windows 7或Windows Server 2008开始菜单搜索栏里输入“gpedit.msc”,来打开本地组策略编辑器,显示可用的审……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

Windows 7和Windows Server 2008的本地组策略设置和审计策略允许方案提供商能更多地控制客户环境下的事件和设置权限,所以重要的是了解如何配置并合理使用这些设置和策略。

  一些Windows 7版本(专业版、旗舰版和企业版)和Windows Server 2008的所有版本都支持访问53种不同的成功和失败事件审核设置。 本系列文章将深入讨论这些有用的设置,并解释在何种情况下需要你去改变这些设置。

  图1显示系统审计策略的基本界面。在Windows 7或Windows Server 2008开始菜单搜索栏里输入“gpedit.msc”,来打开本地组策略编辑器,显示可用的审计选项。

Windows 7,审计,组策略,设置

  图1:从早期Windows版本的9个类别记录增加到10个,新增了全局项目访问审计(其它类别的名称也略有变化)。

  如果使用Windows 7  Basic、Start、Home或者Home Premium版本,你将无法展开这些类别。因为这些类别下的审计控件在这些版本的操作系统中无法使用。但是,能使用所有类别的好处是能审计所有的子分类设置选项,本文的余下部分将讨论这些子类别设置选项,所以即使你使用这些系统,阅读这些知识对你也非常有益。

  账户登录

Windows 7,审计,组策略,设置

  图2:该图显示一个子类别的右击菜单中的可用属性窗口,该子类别是账户登录审计控件中四个子类别中的一个。

  你需要选中成功或失败复选框来审计任一实际发生的事件。选中“配置”对话框,如其显示的那样,你能做的就是选中一个或两个复选框。欲了解更多关于在域环境中创建、实施高级审计策略配置的信息,请访问Technet article。 更多审核策略设置信息,请访问Technet Security Audit Policy Reference。

  账户访问子类别设置

  • 审计凭证验证:当一个用户帐号登录申请需要提交凭证时,决定操作系统是否生成审计事件。通常情况下,域控制器会用到该设置,因为此项设置仅仅记录发生在其它Windows机器上的本地账户登录。
  • 审计 Kerberos身份验证:决定操作系统是否为Kerberos身份验证TGT(票证授予票证)请求生成审计事件。该请求主要发生在客户机上。
  • 审计Kerberos服务票据业务:决定操作系统是否为Kerberos服务票据请求生成审计事件(使用TGT获取权限来访问Kerberos控件下的其它资源)。该请求主要也发生在客户机上。
  • 审计其它账户登录事件:跟踪各种其它事件,这些事件有关之前提及项目以外的用户登录凭证请求。这些项目包括远程桌面登录和断开、锁定或解锁定一个工作站、进入或退出一个安全屏幕保护程序或检测一个重复攻击的Kerberos(即反复提交相同的信息)。无线网络访问也属于这个子类别。

  组策略设置:账户管理

Windows 7,审计,组策略,设置

  图3:账户管理审计设置可以用来审计用户及计算机账户和组的变化

  以下是账户管理的子类别设置:

  • 审计应用组管理:当执行应用组管理任务时,决定操作系统是否生成审计事件。这类任务包括创建、修改、删除一个应用组和添加或删除一个组成员。
  • 审计计算机账户管理:当创建、修改或删除一个计算机账户时,决定操作系统是否生成审计事件。该设置用在域环境的计算机上监控账户相关的变化。
  • 审计分配组管理:当执行分配组管理任务时,决定操作系统是否生成审计事件。该设置只在运行Windows Server 2008的计算机上有效。
  • 审计其他账户管理事件:当访问一个账户密码哈希(主要发生在活动目录迁移工具移动密码数据时)或当密码检测策略API被调用时(可能是恶意的),决定操作系统是否生成审计事件。
  • 审计安全组管理:当执行各种组管理任务,包括创建、改变或删除一个安全组、添加或删除一个安全组成员或者改变一个安全组的相关类型时,决定操作系统是否生成审计事件。(安全组常用于管理访问控制权限和分布列表)
  • 审计用户账号管理:当各类用户账户管理任务发生时,决定操作系统是否生成审核事件。其中包括创建、改变、删除、重命名、禁用或启用和锁定或解除锁定用户账户。其他项目包括设置和修改用户账户密码、为用户账户添加SID历史、设置目录服务修复模式密码(仅管理员)、修改管理员组中账户权限和备份或恢复凭证管理器凭证。

  详细追踪

Windows 7,审计,组策略,设置

  图4:详细追踪子类别,它极少使用,能审计低级别的系统活动,可能生成大量的事件。

  以下是详细追踪的子类别:

  • 审计DPAPI活动:决定操作系统是否生成审核事件,当加密或解密指令调用数据保护应用接口(DPAPI)时。DPAPI用于保护敏感数据,如存储的密码和密钥。
  • 审计进程创建:当进程创建,并且有创建它的用户或程序名时,决定操作系统是否产生审计事件。该类别通常用于对计算机行为和用户活动做级别的分析。
  • 审计进程终止:当进程终止时(这里试图在终止失败时追踪失败报告) 决定操作系统是否生成审计事件。该类别通常用于计算机行为和用户活动的低级别分析。
  • 审计RPC事件:当入站远程程序指令连接启动时决定操作系统是否生成审计事件。该子类别极少使用。

  活动目录域服务访问

Windows 7,审计,组策略,设置

  图5:这些设置审计与活动目录域服务对象的访问和修改有关的各种活动,而且这些设置只会在域控制器上生成审计事件。在这里,我们将不详细讨论该类别,因为该类别的内容仅与Windows 2008 R2 Server有关。

作者

Ed Tittel
Ed Tittel

IT老兵,从事开发、网络咨询、技术培训等逾30年。

相关推荐

  • 如何配置Windows服务器本地安全策略?

    企业为新服务器配置本地安全策略非常重要,包括配置及启动服务器防火墙,停用所有不必要的系统服务,处理补丁管理以及阻止未经授权的访问等等。

  • 要不要升级Windows 10?你也是这样的网友吗?

    微软表示,免费升级到Windows 10的服务将在今年7月29日正式终结,对于未在7月29日之前进行免费升级的Windows7、Windows 8.1用户,则需要花费119美元购买该操作系统,或者直接购买预装了Windows 10的新设备。

  • 如何对Windows Server文件拷贝排错

    Server Message Block文件共享已经存在了很长一段时间,一般来说是稳定和可靠的。但是一些管理员发现如果从Windows 7或Windows 8客户端向Windows Server文件共享传输大文件的时候会出现一些古怪的问题。

  • Windows管理员如何学习组策略基础知识

    组策略自出现以来并没有太多改变,但对于初学者来说却是一堵难以翻越的城墙。本文介绍如何学习使用组策略来管理用户和计算机。