windows审核策略.docxVIP

审核策略更新日期： 2004年04月16日本页内容本模块内容目标适用范围如何使用本模块简介审核设置审核帐户登录事件审核帐户管理审核目录服务访问审核登录事件审核对象访问审核策略更改审核特权使用审核过程跟踪审核系统事件审核示例：用户登录事件的审核结果 用户登录到其计算机用户连接到名为 Share 的共享文件夹用户打开文件 document.txt用户保存文件 document.txt本模块内容本模块描述了如何设置应用于审核的各种设置。本模块还提供了由几个常见任务创建的审核事件示例。每当用户执行了指定的某些操作，审核日志就会记录一个审核项。您可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵，正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。返回页首目标使用本模块可以设置下列审核策略：?审核设置?审核帐户登录事件?审核帐户管理?审核目录服务访问?审核登录事件?审核对象访问?审核策略更改?审核特权使用?审核过程跟踪?审核系统事件?审核示例：用户登录事件的审核结果?用户登录到自己的计算机?用户连接到名为 Share 的共享文件夹?用户打开文件 document.txt?用户保存文件 document.txt 返回页首适用范围本模块适用于下列产品和技术：?Microsoft? Windows? Server? 2003 操作系统 ?Microsoft Active Directory? 目录服务?Microsoft Windows XP返回页首如何使用本模块本模块旨在为当前版本的 Microsoft Windows 操作系统中的审核策略安全设置提供参考。它是 Microsoft 发布的其他两份指南的附加指南：“Windows Server 2003 Security Guide”（网址为 /fwlink/?LinkId=14845（英文））和“Windows XP Security Guide”（英文）。本模块大致按照组策略编辑用户界面中显示的主要部分进行组织。首先简要描述了模块的内容，然后列出了各个子部分的标题。子部分标题对应于一个或一组设置。对于所有设置，都简要说明了该对策的功能。返回页首简介每当用户执行了指定的某些操作，审核日志就会记录一个审核项。例如，修改文件或策略可以触发一个审核项。审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间。您可以审核操作中的成功尝试和失败尝试。计算机上的操作系统和应用程序的状态是动态变化的。例如，有时可能需要临时更改安全级别，以便立即解决管理问题或网络问题。这些更改经常会被忘记，并且永远不会撤销。这说明计算机可能不再满足企业安全的要求。作为企业风险管理项目的一部分，定期分析可以使管理员跟踪并确保每个计算机有足够的安全级别。分析的重点是专门指定的、与安全有关的所有系统方面的信息。这使管理员可以调整安全级别，而且最重要的是，可以检测到系统中随着时间的推移而有可能产生的所有安全缺陷。安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵，真确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。通常，失败日志比成功日志更有意义，因为失败通常说明有错误发生。例如，如果用户成功登录到系统，一般认为这是正常的。然而，如果用户多次尝试都未能成功登录到系统，则可能说明有人正试图使用他人的用户 ID 侵入系统。事件日志记录了系统上发生的事件。安全日志记录了审核事件。组策略的“事件日志”容器用于定义与应用程序、安全性和系统事件日志相关的属性，例如日志大小的最大值、每个日志的访问权限以及保留设置和方法。随本指南提供的 Microsoft Excel 工作簿“Windows Default Security and Services Configuration”（英文）为默认设置编制了文档。请单击此处下载。审核策略设置可以在“组策略对象编辑器”中的以下位置进行配置：计算机配置\Windows 设置\安全设置\本地策略\审核策略返回页首审核设置所有审核设置的漏洞、对策和潜在影响都一样，因此这些内容仅在以下段落中详细讲述一次。然后在这些段落之后简要说明了每个设置。审核设置的选项为：?成功?失败?无审核漏洞如果未配置任何审核设置，将很难甚至不可能确定出现安全事件期间发生的情况。不过，如果因为配置了审核而导致有太多的授权活动生成事件，则安全事件日志将被无用的数据填满。为大量对象配置审核也会对整个系统性能产生影响。对策组织内的所有计算机都应启用适当的审核策略，这样合法用户可以对其操作负责，而未经授权的行为可以被检测和跟踪。潜在影响如果在组