Windows 7和Windows Server 2008的本地組策略設(shè)置和審計(jì)策略允許方案提供商能更多地控制客戶環(huán)境下的事件和設(shè)置權(quán)限，所以重要的是了解如何配置并合理使用這些設(shè)置和策略。

一些Windows 7版本（專業(yè)版、旗艦版和企業(yè)版）和Windows Server 2008的所有版本都支持訪問(wèn)53種不同的成功和失敗事件審核設(shè)置。 本系列文章將深入討論這些有用的設(shè)置，并解釋在何種情況下需要你去改變這些設(shè)置。

圖1顯示系統(tǒng)審計(jì)策略的基本界面。在Windows 7或Windows Server 2008開(kāi)始菜單搜索欄里輸入“gpedit.msc”，來(lái)打開(kāi)本地組策略編輯器，顯示可用的審計(jì)選項(xiàng)。

圖1：從早期Windows版本的9個(gè)類別記錄增加到10個(gè)，新增了全局項(xiàng)目訪問(wèn)審計(jì)（其它類別的名稱也略有變化）。

如果使用Windows 7  Basic、Start、Home或者Home Premium版本，你將無(wú)法展開(kāi)這些類別。因?yàn)檫@些類別下的審計(jì)控件在這些版本的操作系統(tǒng)中無(wú)法使用。但是，能使用所有類別的好處是能審計(jì)所有的子分類設(shè)置選項(xiàng)，本文的余下部分將討論這些子類別設(shè)置選項(xiàng)，所以即使你使用這些系統(tǒng)，閱讀這些知識(shí)對(duì)你也非常有益。

賬戶登錄

圖2：該圖顯示一個(gè)子類別的右擊菜單中的可用屬性窗口，該子類別是賬戶登錄審計(jì)控件中四個(gè)子類別中的一個(gè)。

你需要選中成功或失敗復(fù)選框來(lái)審計(jì)任一實(shí)際發(fā)生的事件。選中“配置”對(duì)話框，如其顯示的那樣，你能做的就是選中一個(gè)或兩個(gè)復(fù)選框。欲了解更多關(guān)于在域環(huán)境中創(chuàng)建、實(shí)施高級(jí)審計(jì)策略配置的信息，請(qǐng)?jiān)L問(wèn)Technet article。 更多審核策略設(shè)置信息，請(qǐng)?jiān)L問(wèn)Technet Security Audit Policy Reference。

賬戶訪問(wèn)子類別設(shè)置

• 審計(jì)憑證驗(yàn)證：當(dāng)一個(gè)用戶帳號(hào)登錄申請(qǐng)需要提交憑證時(shí)，決定操作系統(tǒng)是否生成審計(jì)事件。通常情況下，域控制器會(huì)用到該設(shè)置，因?yàn)榇隧?xiàng)設(shè)置僅僅記錄發(fā)生在其它Windows機(jī)器上的本地賬戶登錄。
• 審計(jì) Kerberos身份驗(yàn)證：決定操作系統(tǒng)是否為Kerberos身份驗(yàn)證TGT（票證授予票證）請(qǐng)求生成審計(jì)事件。該請(qǐng)求主要發(fā)生在客戶機(jī)上。
• 審計(jì)Kerberos服務(wù)票據(jù)業(yè)務(wù):決定操作系統(tǒng)是否為Kerberos服務(wù)票據(jù)請(qǐng)求生成審計(jì)事件（使用TGT獲取權(quán)限來(lái)訪問(wèn)Kerberos控件下的其它資源）。該請(qǐng)求主要也發(fā)生在客戶機(jī)上。
• 審計(jì)其它賬戶登錄事件：跟蹤各種其它事件，這些事件有關(guān)之前提及項(xiàng)目以外的用戶登錄憑證請(qǐng)求。這些項(xiàng)目包括遠(yuǎn)程桌面登錄和斷開(kāi)、鎖定或解鎖定一個(gè)工作站、進(jìn)入或退出一個(gè)安全屏幕保護(hù)程序或檢測(cè)一個(gè)重復(fù)攻擊的Kerberos（即反復(fù)提交相同的信息）。無(wú)線網(wǎng)絡(luò)訪問(wèn)也屬于這個(gè)子類別。

組策略設(shè)置：賬戶管理

圖3：賬戶管理審計(jì)設(shè)置可以用來(lái)審計(jì)用戶及計(jì)算機(jī)賬戶和組的變化

以下是賬戶管理的子類別設(shè)置：

• 審計(jì)應(yīng)用組管理：當(dāng)執(zhí)行應(yīng)用組管理任務(wù)時(shí)，決定操作系統(tǒng)是否生成審計(jì)事件。這類任務(wù)包括創(chuàng)建、修改、刪除一個(gè)應(yīng)用組和添加或刪除一個(gè)組成員。
• 審計(jì)計(jì)算機(jī)賬戶管理：當(dāng)創(chuàng)建、修改或刪除一個(gè)計(jì)算機(jī)賬戶時(shí)，決定操作系統(tǒng)是否生成審計(jì)事件。該設(shè)置用在域環(huán)境的計(jì)算機(jī)上監(jiān)控賬戶相關(guān)的變化。
• 審計(jì)分配組管理：當(dāng)執(zhí)行分配組管理任務(wù)時(shí)，決定操作系統(tǒng)是否生成審計(jì)事件。該設(shè)置只在運(yùn)行Windows Server 2008的計(jì)算機(jī)上有效。
• 審計(jì)其他賬戶管理事件：當(dāng)訪問(wèn)一個(gè)賬戶密碼哈希（主要發(fā)生在活動(dòng)目錄遷移工具移動(dòng)密碼數(shù)據(jù)時(shí)）或當(dāng)密碼檢測(cè)策略API被調(diào)用時(shí)（可能是惡意的），決定操作系統(tǒng)是否生成審計(jì)事件。
• 審計(jì)安全組管理：當(dāng)執(zhí)行各種組管理任務(wù)，包括創(chuàng)建、改變或刪除一個(gè)安全組、添加或刪除一個(gè)安全組成員或者改變一個(gè)安全組的相關(guān)類型時(shí)，決定操作系統(tǒng)是否生成審計(jì)事件。（安全組常用于管理訪問(wèn)控制權(quán)限和分布列表）
• 審計(jì)用戶賬號(hào)管理：當(dāng)各類用戶賬戶管理任務(wù)發(fā)生時(shí)，決定操作系統(tǒng)是否生成審核事件。其中包括創(chuàng)建、改變、刪除、重命名、禁用或啟用和鎖定或解除鎖定用戶賬戶。其他項(xiàng)目包括設(shè)置和修改用戶賬戶密碼、為用戶賬戶添加SID歷史、設(shè)置目錄服務(wù)修復(fù)模式密碼（僅管理員）、修改管理員組中賬戶權(quán)限和備份或恢復(fù)憑證管理器憑證。

詳細(xì)追蹤

圖4：詳細(xì)追蹤子類別，它極少使用，能審計(jì)低級(jí)別的系統(tǒng)活動(dòng)，可能生成大量的事件。

以下是詳細(xì)追蹤的子類別：

• 審計(jì)DPAPI活動(dòng)：決定操作系統(tǒng)是否生成審核事件，當(dāng)加密或解密指令調(diào)用數(shù)據(jù)保護(hù)應(yīng)用接口（DPAPI）時(shí)。DPAPI用于保護(hù)敏感數(shù)據(jù)，如存儲(chǔ)的密碼和密鑰。
• 審計(jì)進(jìn)程創(chuàng)建：當(dāng)進(jìn)程創(chuàng)建，并且有創(chuàng)建它的用戶或程序名時(shí)，決定操作系統(tǒng)是否產(chǎn)生審計(jì)事件。該類別通常用于對(duì)計(jì)算機(jī)行為和用戶活動(dòng)做級(jí)別的分析。
• 審計(jì)進(jìn)程終止：當(dāng)進(jìn)程終止時(shí)（這里試圖在終止失敗時(shí)追蹤失敗報(bào)告) 決定操作系統(tǒng)是否生成審計(jì)事件。該類別通常用于計(jì)算機(jī)行為和用戶活動(dòng)的低級(jí)別分析。
• 審計(jì)RPC事件：當(dāng)入站遠(yuǎn)程程序指令連接啟動(dòng)時(shí)決定操作系統(tǒng)是否生成審計(jì)事件。該子類別極少使用。

活動(dòng)目錄域服務(wù)訪問(wèn)

圖5：這些設(shè)置審計(jì)與活動(dòng)目錄域服務(wù)對(duì)象的訪問(wèn)和修改有關(guān)的各種活動(dòng)，而且這些設(shè)置只會(huì)在域控制器上生成審計(jì)事件。在這里，我們將不詳細(xì)討論該類別，因?yàn)樵擃悇e的內(nèi)容僅與Windows 2008 R2 Server有關(guān)。

原文：http://www.searchsv.com.cn/showcontent_44934.htm

【編輯推薦】

1. 專題：Windows組策略 系統(tǒng)管理員手中的管理利器
2. 五個(gè)必須立刻實(shí)施的Windows組策略選項(xiàng)
3. 組策略規(guī)劃和部署指南