审核策略

计算机学术语

本模块描述了如何设置应用于审核的各种设置。本模块还提供了由几个常见任务创建的审核事件示例。每当用户执行了指定的某些操作，审核日志就会记录一个审核项。您可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵，正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。

模块内容

目标

适用范围

如何使用本模块

简介

审核设置

审核帐户登录事件

审核帐户管理

审核目录服务访问

审核登录事件

审核对象访问

审核策略更改

审核特权使用

审核过程跟踪

审核系统事件

审核示例：用户登录事件的审核结果

用户登录到其计算机

用户连接到名为 Share 的共享文件夹

用户打开文件 document.txt

用户保存文件 document.txt

本模块内容

本模块描述了如何设置应用于审核的各种设置。本模块还提供了由几个常见任务创建的审核事件示例。每当用户执行了指定的某些操作，审核日志就会记录一个审核项。您可以审核操作中的成功尝试和失败尝试。

正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。

返回页首

目标

使用本模块可以设置下列审核策略：

· 审核设置

· 审核帐户登录事件

· 审核帐户管理

· 审核目录服务访问

· 审核登录事件

· 审核对象访问

· 审核策略更改

· 审核特权使用

· 审核过程跟踪

· 审核系统事件

· 审核示例：用户登录事件的审核结果

· 用户登录到自己的计算机

· 用户连接到名为 Share 的共享文件夹

· 用户打开文件 document.txt

· 用户保存文件 document.txt

返回页首

适用范围

本模块适用于下列产品和技术：

· Microsoft® Windows® Server™ 2003 操作系统

· Microsoft Active Directory®目录服务

· Microsoft Windows XP

返回页首

如何使用本模块

本模块旨在为当前版本的 Microsoft Windows 操作系统中的审核策略安全设置提供参考。它是 Microsoft 发布的其他两份指南的附加指南：“Windows Server 2003 Security Guide”

本模块大致按照组策略编辑用户界面中显示的主要部分进行组织。首先简要描述了模块的内容，然后列出了各个子部分的标题。子部分标题对应于一个或一组设置。对于所有设置，都简要说明了该对策的功能。

每当用户执行了指定的某些操作，审核日志就会记录一个审核项。例如，修改文件或策略可以触发一个审核项。审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间。您可以审核操作中的成功尝试和失败尝试。

计算机上的操作系统和应用程序的状态是动态变化的。例如，有时可能需要临时更改安全级别，以便立即解决管理问题或网络问题。这些更改经常会被忘记，并且永远不会撤销。这说明计算机可能不再满足企业安全的要求。

作为企业风险管理项目的一部分，定期分析可以使管理员跟踪并确保每个计算机有足够的安全级别。分析的重点是专门指定的、与安全有关的所有系统方面的信息。这使管理员可以调整安全级别，而且最重要的是，可以检测到系统中随着时间的推移而有可能产生的所有安全缺陷。

真确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。

通常，失败日志比成功日志更有意义，因为失败通常说明有错误发生。例如，如果用户成功登录到系统，一般认为这是正常的。然而，如果用户多次尝试都未能成功登录到系统，则可能说明有人正试图使用他人的用户 ID 侵入系统。事件日志记录了系统上发生的事件。安全日志记录了审核事件。组策略的“事件日志”容器用于定义与应用程序、安全性和系统事件日志相关的属性，例如日志大小的最大值、每个日志的访问权限以及保留设置和方法。

审核策略设置可以在“组策略对象编辑器”中的以下位置进行配置：

审核设置

所有审核设置的漏洞、对策和潜在影响都一样，因此这些内容仅在以下段落中详细讲述一次。然后在这些段落之后简要说明了每个设置。

审核设置的选项为：

· 成功

· 失败

· 无审核

漏洞

如果未配置任何审核设置，将很难甚至不可能确定出现安全事件期间发生的情况。不过，如果因为配置了审核而导致有太多的授权活动生成事件，则安全事件日志将被无用的数据填满。为大量对象配置审核也会对整个系统性能产生影响。

对策

组织内的所有计算机都应启用适当的审核策略，这样合法用户可以对其操作负责，而未经授权的行为可以被检测和跟踪。

潜在影响

如果在组织内的计算机上没有配置审核，或者将审核设置的太低，将缺少足够的甚至根本没有可用的证据，可在发生安全事件后用于网络辩论分析。而另一方面，如果启用过多的审核，安全日志中将填满毫无意义的审核项。

返回页首

审核帐户登录事件

“审核帐户登录事件”设置用于确定是否对用户在另一台计算机上登录或注销的每个实例进行审核，该计算机记录了审核事件，并用来验证帐户。如果定义了该策略设置，则可指定是否审核成功、失败或根本不审核此事件类型。成功审核会在帐户登录尝试成功时生成一个审核项。失败审核会在帐户登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用，但此设置可能会导致拒绝服务 (DoS) 。

如果在域控制器上启用了帐户登录事件的成功审核，则对于没有通过域控制器验证的每个用户，都会为其记录一个审核项，即使该用户实际上只是登录到加入该域的一个工作站上。

返回页首

审核帐户管理

“审核帐户管理”设置用于确定是否对计算机上的每个帐户管理事件进行审核。

帐户管理事件的示例包括：

· 创建、修改或删除用户帐户或组。

·重命名、禁用或启用用户帐户。

· 设置或修改密码。

成功审核会在任何帐户管理事件成功时生成一个审核项，并且应在企业中的所有计算机上启用这些成功审核。在响应安全事件时，组织可以对创建、更改或删除帐户的人员进行跟踪，这一点非常重要。失败审核会在任何帐户管理事件失败时生成一个审核项。

返回页首

审核目录服务访问

“审核目录服务访问”设置用于确定是否对用户访问 Microsoft Active Directory 对象的事件进行审核，该对象指定了自身的系统访问控制列表（SACL）。SACL 是用户和组的列表。对象上针对这些用户或组的操作将在基于 Microsoft Windows 2000–的网络上进行审核。成功审核会在用户成功访问指定了 SACL 的 Active Directory 对象时生成一个审核项。失败审核会在用户试图访问指定了 SACL 的 Active Directory 对象失败时生成一个审核项。启用“审核目录服务访问”并在目录对象上配置 SACL 可以在域控制器的安全日志中生成大量审核项，因此仅在确实要使用所创建的信息时才应启用这些设置。

请注意，可以通过使用 Active Directory 对象“属性”对话框中的“安全”选项卡，在该对象上设置 SACL。除了仅应用于 Active Directory 对象，而不应用于文件系统和注册表对象之外，它与审核对象访问类似。

返回页首

审核登录事件

“审核登录事件”设置用于确定是否对用户在记录审核事件的计算机上登录、注销或建立网络连接的每个实例进行审核。如果正在域控制器上记录成功的帐户登录审核事件，工作站登录尝试将不生成登录审核。只有域控制器自身的交互式登录和网络登录尝试才生成登录事件。总而言之，帐户登录事件是在帐户所在的位置生成的，而登录事件是在登录尝试发生的位置生成的。

成功审核会在登录尝试成功时生成一个审核项。该审核项的信息对于记帐以及事件发生后的辩论十分有用，可用来确定哪个人成功登录到哪台计算机。失败审核会在登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用，但此设置可能会导致进入 DoS 状态，因为攻击者可以生成数百万次登录失败，并将安全事件日志填满。

返回页首

审核对象访问

“审核对象访问”设置用于确定是否对用户访问指定了自身 SACL 的对象（如文件、文件夹、注册表项和打印机等）这一事件进行审核。成功审核会在用户成功访问指定了 SACL 的对象时生成一个审核项。失败审核会在用户尝试访问指定了 SACL 的对象失败时生成一个审核项。许多失败事件在正常的系统运行期间都是可以预料的。例如，许多应用程序（如 Microsoft Word）总是试图使用读写特权来打开文件。如果无法这样做，它们就会试图使用只读特权来打开文件。如果已经在该文件上启用了失败审核和适当的 SACL，则发生上述情况时，将记录一个失败事件。

如果启用审核对象访问并在对象上配置 SACL，可以在企业系统上的安全日志中生成大量审核项，因此，仅在确实要使用记录的信息时才应启用这些设置。

注意：在 Microsoft Windows Server 2003 中，启用审核对象（如文件、文件夹、打印机或注册表项）功能可以分为两个步骤。启用审核对象访问策略之后，必须确定要监视其访问的对象，然后相应修改其 SACL。例如，如果要对用户打开特定文件的任何尝试进行审核，可以使用 Windows 资源管理器或组策略直接在要监视特定事件的文件上设置“成功”或“失败”属性。

返回页首

审核策略更改

“审核策略更改”设置用于确定是否对更改用户权限分配策略、审核策略或信任策略的每个事件进行审核。成功审核会在成功更改用户权限分配策略、审核策略或信任策略时生成一个审核项，该审核项的信息对于计帐以及事件发生后的辩论十分有用，可用来确定谁在域或单个计算机上成功修改了策略。失败审核会在对用户权限分配策略、审核策略或信任策略的更改失败时生成一个审核项。

返回页首

审核特权使用

“审核特权使用”设置用于确定是否对用户行使用户权限的每个实例进行审核。成功审核会在成功行使用户权限时生成一个审核项。失败审核会在行使用户权限失败时生成一个审核项。启用这些设置以后，生成的事件数量将十分庞大，并且难以进行分类。只有在已经计划好如何使用所生成的信息时，才应启用这些设置。

默认情况下，即使为“审核特权使用”指定了成功审核或失败审核，也不会为下列用户权限的使用生成审核事件：

· 跳过遍历检查

·调试程序

· 创建令牌对象

· 替换进程级令牌

· 生成安全审核

·备份文件和目录

· 还原文件和目录

返回页首

审核过程跟踪

“审核过程跟踪”设置用于确定是否审核事件的详细跟踪信息，如程序激活、进程退出、句柄复制和间接对象访问等。成功审核会在成功跟踪过程时生成一个审核项。失败审核会在跟踪过程失败时生成一个审核项。

启用“审核过程跟踪”将生成大量事件，因此通常都将其设置为“无审核”。但是，在事件响应期间，即过程详细日志开始记录和这些过程被启动的时间，这些设置会发挥很大的作用。

返回页首

审核系统事件

“审核系统事件”设置用于确定在用户重新启动或关闭其计算机时，或者在影响系统安全或安全日志的事件发生时，是否进行审核。如果定义了此策略设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在成功执行系统事件时生成一个审核项。失败审核会在系统事件尝试失败时生成一个审核项。由于同时启用系统事件的失败审核和成功审核时，仅记录极少数其他事件，并且所有这些事件都非常重要，因此建议在组织中的所有计算机上启用这些设置。

返回页首

审核示例

用户登录事件的审核结果

既然已经学习了 Windows 中可用的各种审核设置，因此，考虑一个特定的示例可能会很有帮助。审核是从单个系统的角度来实现的，而不是从用户喜欢的整体角度来实现的。事件是在单个系统上记录的，因此要确定发生了什么事件，可能需要检查多个系统的安全日志，并对这些数据进行关联。

本模块的其余部分显示了当授权用户登录到其计算机，并访问由文件服务器托管的共享文件夹中的文件时，写入域控制器、文件服务器和最终用户计算机的事件日志中的核心事件。另外，将仅记录核心事件以便用于验证，为了清楚起见，将忽略这些活动所生成的其他事件。本示例涉及的帐户名称和资源名称如下：

· 域：DOM

·域控制器：DC1

·文件服务器：FS1

· 最终用户计算机：XP1

· 用户：John

· FS1 上的共享文件夹：Share

·共享文件夹中的文档：document.txt

返回页首

用户登录到其计算机

· 记录在最终用户计算机上的事件

· 记录在域控制器上的事件

· 记录在文件服务器上的事件

· 无

返回页首

用户连接到名为 Share 的共享文件夹

· 记录在最终用户计算机上的事件

· 无

· 记录在域控制器上的事件

· 事件 ID 673 的成功审核、用户 John@DOM.com 对服务名 FS1$ 的帐户登录，

· 事件 ID 673 的成功审核、用户 FS$@DOM.com 对服务名 FS1$ 的帐户登录，

· 事件 ID 673 的成功审核、用户 XP1$@DOM.com 对服务名 FS1$ 的帐户登录

注意：这些都是 Kerberos 服务票证要求的。

· 记录在文件服务器上的事件

返回页首

用户打开文件 document.txt

· 记录在最终用户计算机上的事件

· 无

· 记录在域控制器上的事件

· 无

· 记录在文件服务器上的事件

返回页首

用户保存文件 document.txt

· 记录在最终用户计算机上的事件

· 无

· 记录在域控制器上的事件

· 无

· 记录在文件服务器上的事件

尽管本示例看上去是一系列复杂事件，但这已经被大大简化了。采取上述步骤实际上将在域控制器和文件服务器上生成许多登录、注销和特权使用事件。另外，用户打开文件时将会生成对象访问事件的记录，并且每当用户保存该文件时，将会创建更多的事件。由此可见，如果没有自动工具的支持，如 Microsoft Operations Manager，使用审核生成的数据将是一项非常艰巨的任务。

全国各地天气预报查询

上海市

云南省

云南省

云南省

云南省

云南省