Windows 安全審核中的新增功能
主要更改有哪些?
在 Windows Server® 2008 R2 和 Windows®7 中有許多審核增強功能,這些增強功能可提高安全審核日志中的詳細級別并簡化審核策略的部署和管理。這些增強功能包括:
- 全局對象訪問審核。 在 Windows Server 2008 R2 和 Windows7 中,管理員可以為文件系統或注冊表定義計算機范圍系統訪問控制列表 (SACL)。然后將指定的 SACL 自動應用于該類型的每個對象。這對于驗證計算機上的所有關鍵文件、文件夾以及注冊表設置是否受保護以及確定系統資源發生問題的時間,可能非常有用。
- “訪問原因”報告。 此訪問控制項 (ACE) 列表提供的權限用于決定允許還是拒絕訪問對象。這對于描述允許或阻止出現特殊可審核事件的權限(如組成員身份),可能非常有用。
- 高級審核策略設置。 可以使用這 53 個新設置代替“本地策略\審核策略”下的九個基本審核設置,以允許管理員更加明確地以他們要審核的活動類型為目標,去掉了可能使審核日志難于管理和解密的不必要的審核活動。
以下部分更加詳細地介紹這些增強功能。
這些審核增強功能有何功能?
在 WindowsXP 中,管理員具有九種類別的安全審核事件,他們可以用于監視成功、失敗或者成功和失敗。這些事件范圍非常廣泛并且可以由各種類似操作觸發,其中一些可以生成大量事件日志項。
在 WindowsVista(R) 和 Windows Server2008 中,可審核事件的數量從 9 增加到 53,這使得管理員在可審核的事件數量和類型方面更具選擇性。但是,與九個基本的 WindowsXP 事件不同,這些新的審核事件未與組策略集成,并且只能使用 Auditpol.exe 命令行工具生成的登錄腳本進行部署。
在 Windows Server 2008 R2 和 Windows7 中,所有審核功能都已經與組策略集成。這允許管理員在組策略管理控制臺 (GPMC) 或本地安全策略管理單元中為域、站點或組織單位 (OU) 配置、部署和管理這些設置。Windows Server 2008 R2 和 Windows7 更便于 IT 專業人士跟蹤網絡上進行精確定義的重要活動的時間。
Windows Server 2008 R2 和 Windows7 中的審核策略增強功能允許管理員連接業務規則和審核策略。例如,在域和 OU 的基礎上應用審核策略設置將允許管理員描述規則的遵從性,例如:
- 跟蹤服務器上具有財務信息的所有組管理員活動。
- 跟蹤已定義的員工組訪問的所有文件。
- 確認在訪問時將正確的 SACL 應用于每個文件、文件夾和注冊表項。
誰會對該功能感興趣?
Windows Server 2008 R2 和 Windows7 中的審核增強功能支持對負責實現、維護和監視組織的物理和信息資產的現行安全的 IT 專業人士的需要。
這些設置可以幫助管理員回答諸如以下內容的問題:
- 誰正在訪問我們的資產?
- 他們正在訪問哪些資產?
- 他們在何時何地訪問這些資產?
- 如何獲得訪問權限?
安全意識和取證跟蹤的期望是這些問題之后的重要動力。越來越多的組織審核員要求并評估該信息的質量。
是否有其他特殊注意事項?
很多特殊注意事項適用于與 Windows Server 2008 R2 和 Windows7 中與審核增強功能關聯的各種任務:
- 創建審核策略。 若要創建高級 Windows 安全審核策略,必須在運行 Windows Server 2008 R2 或 Windows7 的計算機上使用 GPMC 或本地安全策略管理單元。(安裝遠程服務器管理工具之后,可以在運行 Windows7 的計算機上使用 GPMC。)
- 應用審核策略設置。 如果使用組策略應用高級審核策略設置和全局對象訪問設置,則客戶端計算機必須運行 Windows Server 2008 R2 或 Windows7。此外,只有運行 Windows Server 2008 R2 或 Windows7 的計算機才能提供“訪問原因”報告數據。
- 開發審核策略模型。 若要計劃高級安全審核設置和全局對象訪問設置,必須使用以運行 Windows Server 2008 R2 的域控制器為目標的 GPMC。
- 分發審核策略。 開發包含高級安全審核設置的組策略對象 (GPO) 之后,可以使用運行任何 Windows 服務器操作系統的域控制器對其進行分發。但是,如果無法將運行 Windows7 的客戶端計算機放在單獨的 OU 中,則應該使用 Windows Management Instrumentation (WMI) 篩選以確保僅將高級策略設置應用于運行 Windows7 的客戶端計算機。
.gif) 備注 |
|---|
| 還可以將高級審核策略設置應用于運行 WindowsVista 的客戶端計算機。但是,必須使用 Auditpol.exe 登錄腳本單獨為這些客戶端計算機創建和應用審核策略。 |
.gif) 重要事項 |
|---|
| 將“本地策略\審核策略”下的基本審核策略設置與高級審核策略配置下的高級設置一起使用可能會造成意外的結果。因此,不應該將兩組審核策略設置組合使用。如果使用高級審核策略配置設置,則應該啟用“本地策略\安全選項”下的“審核: 強制審核策略子類別設置(Windows Vista 或更高版本)替代審核策略類別設置”策略設置。這將通過強制忽略基本安全審核來防止類似設置之間的沖突。 |
此外,若要計劃和部署安全事件審核策略,管理員需要解決很多操作和戰略問題,包括:
- 為什么需要審核策略?
- 哪些活動和事件對于組織最重要?
- 可以從審核策略中忽略哪些類型的審核事件?
- 希望占用管理員多少時間和網絡資源來生成、收集和存儲事件以及分析數據?
哪些版本包含此功能?
可以處理組策略的所有版本的 Windows Server 2008 R2 和 Windows7 都可以配置為使用這些安全審核增強功能。無法加入域的 Windows Server 2008 R2 和 Windows7 版本無法訪問這些功能。32 位和 64 位版本的 Windows7 之間的安全審核支持沒有任何差別。
此功能提供了哪些新用途?
Windows Server 2008 R2 和 Windows7 提供了以下新功能:全局對象訪問審核、“訪問原因”設置以及高級審核策略設置。
全局對象訪問審核
使用全局對象訪問審核,管理員可以為文件系統或注冊表定義每種對象類型的計算機 SACL。然后將指定的 SACL 自動應用于該類型的每個對象。
審核員將能夠通過只查看全局對象訪問審核策略設置的內容來證實系統中的每個資源受審核策略的保護。例如,策略設置“跟蹤組管理員所進行的所有更改”將足以表明該策略有效。
資源 SACL 對于診斷方案也非常有用。例如,將全局對象訪問審核策略設置為記錄特定用戶的所有活動以及在資源(文件系統、注冊表)中啟用“訪問失敗”審核策略將幫助管理員快速確定系統中的哪些對象拒絕用戶訪問。
| 備注 |
|---|
| 如果在計算機上配置了文件或文件夾 SACL 和全局對象訪問審核策略(或者單個注冊表設置 SACL 和全局對象訪問審核策略),則有效的 SACL 源于將文件或文件夾 SACL 和全局對象訪問審核策略組合。這意味著如果活動與文件或文件夾 SACL 或者全局對象訪問審核策略匹配,則會生成一個審核事件。 |
“訪問原因”設置
Windows 中有多個事件,無論操作成功還是失敗都會進行審核。這些事件通常包括用戶、對象和操作,但它們缺少允許或拒絕該操作的原因。通過記錄原因、基于的特定權限以及某個人訪問企業資源的原因,在 Windows Server 2008 R2 和 Windows7 中改進了取證分析和支持方案。
高級審核策略設置
在 Windows Server 2008 R2 和 Windows7 中,可以使用域組策略配置和部署增強的審核策略,這樣將降低管理成本和開銷,并極大地提高了安全審核的靈活性和效率。
以下部分介紹組策略的高級審核策略配置節點中可用的新事件和事件類別。
帳戶登錄事件
此類別中的事件幫助文檔域嘗試對帳戶數據、域控制器或本地安全帳戶管理器 (SAM) 進行身份驗證。與登錄和注銷事件(它們跟蹤訪問特殊計算機的嘗試)不同,此類別中的事件報告正在使用的帳戶數據庫。
| 設置 | 描述 |
|---|---|
|
憑據驗證 |
審核由對用戶帳戶登錄憑據的驗證測試生成的事件。 |
|
Kerberos服務票證操作 |
審核 Kerberos 服務票證請求生成的事件。 |
|
其他帳戶登錄事件 |
審核由響應為用戶帳戶登錄提交的憑據請求(非憑據驗證或 Kerberos 票證)生成的事件。 |
|
Kerberos 身份驗證服務 |
審核由 Kerberos 身份驗證票證授予票證 (TGT) 請求生成的事件。 |
帳戶管理事件
可以使用此類別中的設置監視對用戶和計算機帳戶和組的更改。
| 設置 | 描述 | ||
|---|---|---|---|
|
用戶帳戶管理 |
審核對用戶帳戶的更改。 |
||
|
計算機帳戶管理 |
審核由對計算機帳戶的更改(如當創建、更改或刪除計算機帳戶時)生成的事件。 |
||
|
安全組管理 |
審核由對安全組的更改生成的事件。 |
||
|
分發組管理 |
審核由對分發組的更改生成的事件。
|
||
|
應用程序組管理 |
審核由對應用程序組的更改生成的事件。 |
||
|
其他帳戶管理事件 |
審核由此類別中不涉及的其他用戶帳戶更改生成的事件。 |
詳細跟蹤的事件
可以使用詳細跟蹤的事件監視各個應用程序的活動,以了解計算機的使用方式以及該計算機上用戶的活動。
| 設置 | 描述 |
|---|---|
|
進程創建 |
審核當創建或啟動進程時生成的事件。還要審核創建該進程的應用程序或用戶的名稱。 |
|
進程終止 |
審核當進程結束時生成的事件。 |
|
DPAPI 活動 |
審核當對數據保護應用程序接口 (DPAPI) 進行加密或解密請求時生成的事件。DPAPI 用來保護機密信息,如存儲的密碼和密鑰信息。有關 DPAPI 的詳細信息,請參閱 Windows 數據保護(可能為英文網頁)。 |
|
RPC 事件 |
審核入站遠程過程調用 (RPC) 連接。 |
DS 訪問事件
DS 訪問事件提供對訪問和修改 Active Directory(R) 域服務 (ADDS) 中對象的嘗試進行較低級別的審核跟蹤。僅在域控制器上記錄這些事件。
| 設置 | 描述 |
|---|---|
|
目錄服務訪問 |
審核當訪問 AD DS 對象時生成的事件。 僅記錄具有匹配的 SACL 的 AD DS 對象。 此子類別中的事件與以前版本的 Windows 中可用的目錄服務訪問事件類似。 |
|
目錄服務更改 |
審核由對 AD DS 對象的更改生成的事件。當創建、刪除、修改、移動或恢復對象時記錄事件。 |
|
目錄服務復制 |
審核兩個 AD DS 域控制器之間的復制。 |
|
詳細的目錄服務復制 |
審核由域控制器之間詳細的 AD DS 復制生成的事件。 |
登錄/注銷事件
使用登錄和注銷事件可以跟蹤以交互方式登錄計算機或通過網絡登錄計算機的嘗試。這些事件對于跟蹤用戶活動以及標識網絡資源上的潛在攻擊尤其有用。
| 設置 | 描述 |
|---|---|
|
登錄 |
審核由用戶帳戶在計算機上的登錄嘗試生成的事件。 |
|
注銷 |
審核由關閉登錄會話生成的事件。這些事件發生在所訪問的計算機上。對于交互登錄,在用戶帳戶登錄的計算機上生成安全審核事件。 |
|
帳戶鎖定 |
審核由登錄鎖定帳戶的失敗嘗試生成的事件。 |
|
IPSec 主模式 |
審核在主模式協商期間由 Internet 密鑰交換協議 (IKE) 和已驗證 Internet 協議 (AuthIP) 生成的事件。 |
|
IPSec 快速模式 |
審核在快速模式協商期間由 Internet 密鑰交換協議 (IKE) 和已驗證 Internet 協議 (AuthIP) 生成的事件。 |
|
IPSec 擴展模式 |
審核在擴展模式協商期間由 Internet 密鑰交換協議 (IKE) 和已驗證 Internet 協議 (AuthIP) 生成的事件。 |
|
特殊登錄 |
審核由特殊登錄生成的事件。 |
|
其他登錄/注銷事件 |
審核與“登錄/注銷”類別中不包含的登錄和注銷有關的其他事件。 |
|
網絡策略服務器 |
審核由 RADIUS (IAS) 和網絡訪問保護 (NAP) 用戶訪問請求生成的事件。這些請求可以是授予、拒絕、放棄、隔離、鎖定和解鎖。 |
對象訪問事件
使用對象訪問事件可以跟蹤網絡或計算機上訪問特定對象或對象類型的嘗試。若要審核文件、目錄、注冊表項或任何其他對象,必須為成功和失敗事件啟用“對象訪問”類別。例如,審核文件操作需要啟用“文件系統”子類別,審核注冊表訪問需要啟用“注冊表”子類別。
證明該策略對于外部審核員有效非常困難。沒有簡單的方法驗證在所有繼承的對象上是否設置了正確的 SACL。
| 設置 | 描述 | ||
|---|---|---|---|
|
文件系統 |
審核用戶訪問文件系統對象的嘗試。僅對于具有 SACL 的對象,并且僅當請求的訪問類型(如寫入、讀取或修改)以及進行請求的帳戶與 SACL 中的設置匹配時才生成安全審核事件。 |
||
|
注冊表 |
審核訪問注冊表對象的嘗試。僅對于具有 SACL 的對象,并且僅當請求的訪問類型(如讀取、寫入或修改)以及進行請求的帳戶與 SACL 中的設置匹配時才生成安全審核事件。 |
||
|
內核對象 |
審核訪問系統內核(包括 Mutexes 和 Semaphores)的嘗試。只有具有匹配的 SACL 的內核對象才生成安全審核事件。
|
||
|
SAM |
審核由訪問安全帳戶管理器 (SAM) 對象的嘗試生成的事件。 |
||
|
證書服務 |
審核 Active Directory 證書服務 (AD CS) 操作。 |
||
|
生成的應用程序 |
審核通過使用 Windows 審核應用程序編程接口 (API) 生成事件的應用程序。設計為使用 Windows 審核 API 的應用程序使用此子類別記錄與其功能有關的審核事件。 |
||
|
句柄操作 |
審核當打開或關閉對象句柄時生成的事件。只有具有匹配的 SACL 的對象才生成安全審核事件。 |
||
|
文件共享 |
審核訪問共享文件夾的嘗試。但是,當創建、刪除文件夾或更改其共享權限時不生成任何安全審核事件。 |
||
|
詳細的文件共享 |
審核訪問共享文件夾上文件和文件夾的嘗試。“詳細的文件共享”設置在每次訪問文件或文件夾時記錄一個事件,而“文件共享”設置僅為客戶端和文件共享之間建立的任何連接記錄一個事件。“詳細的文件共享”審核事件包括有關用來授予或拒絕訪問的權限或其他條件的詳細信息的事件。 |
||
|
篩選平臺數據包丟棄 |
審核由 Windows 篩選平臺 (WFP) 丟棄的數據包。 |
||
|
篩選平臺連接 |
審核 WFP 允許或阻止的連接。 |
||
|
其他對象訪問事件 |
審核由管理任務計劃程序作業或 COM+ 對象生成的事件。 |
策略更改事件
使用策略更改事件可以跟蹤對本地系統或網絡上重要安全策略的更改。由于策略通常是由管理員建立的,用于確保網絡資源的安全,因此任何更改或更改這些策略的嘗試都可能是網絡安全管理的重要方面。
| 設置 | 描述 |
|---|---|
|
審核策略更改 |
審核安全審核策略設置的更改。 |
|
身份驗證策略更改 |
審核由對身份驗證策略的更改生成的事件。 |
|
授權策略更改 |
審核由對授權策略的更改生成的事件。 |
|
MPSSVC 規則級別策略更改 |
審核由 Windows 防火墻使用的策略規則的更改生成的事件。 |
|
篩選平臺策略更改 |
審核由對 WFP 的更改生成的事件。 |
|
其他策略更改事件 |
審核由策略更改類別中不審核的其他安全策略更改生成的事件。 |
權限使用事件
為用戶或計算機授予對網絡的權限以完成定義的任務。有了權限使用事件可以跟蹤一臺或多臺計算機上某些權限的使用。
| 設置 | 描述 |
|---|---|
|
敏感權限使用 |
審核由使用敏感權限(用戶權限)生成的事件,如充當操作系統的一部分、備份文件和目錄、模擬客戶端計算機或生成安全審核。 |
|
非敏感權限使用 |
審核由使用非敏感權限(用戶權限)生成的事件,如本地登錄或使用遠程桌面連接登錄、更改系統時間或從擴展塢刪除計算機。 |
|
其他權限使用事件 |
未使用。 |
系統事件
使用系統事件可以跟蹤對其他類別中不包含且有潛在安全隱患的計算機的高級更改。
| 設置 | 描述 |
|---|---|
|
安全狀態更改 |
審核由計算機安全狀態更改生成的事件。 |
|
安全系統擴展 |
審核與安全系統擴展或服務有關的事件。 |
|
系統完整性 |
審核違反安全子系統的完整性的事件。 |
|
IPSec 驅動程序 |
審核由 IPsec 篩選器驅動程序生成的事件。 |
|
其他系統事件 |
審核以下任何事件:
|
