Windows 7和Windows Server 2008的本地組策略設置和審計策略允許方案提供商能更多地控制客戶環境下的事件和設置權限，所以重要的是了解如何配置并合理使用這些設置和策略。

一些Windows 7版本（專業版、旗艦版和企業版）和Windows Server 2008的所有版本都支持訪問53種不同的成功和失敗事件審核設置。 本系列文章將深入討論這些有用的設置，并解釋在何種情況下需要你去改變這些設置。

圖1顯示系統審計策略的基本界面。在Windows 7或Windows Server 2008開始菜單搜索欄里輸入“gpedit.msc”，來打開本地組策略編輯器，顯示可用的審計選項。

圖1：從早期Windows版本的9個類別記錄增加到10個，新增了全局項目訪問審計（其它類別的名稱也略有變化）。

如果使用Windows 7  Basic、Start、Home或者Home Premium版本，你將無法展開這些類別。因為這些類別下的審計控件在這些版本的操作系統中無法使用。但是，能使用所有類別的好處是能審計所有的子分類設置選項，本文的余下部分將討論這些子類別設置選項，所以即使你使用這些系統，閱讀這些知識對你也非常有益。

賬戶登錄

圖2：該圖顯示一個子類別的右擊菜單中的可用屬性窗口，該子類別是賬戶登錄審計控件中四個子類別中的一個。

你需要選中成功或失敗復選框來審計任一實際發生的事件。選中“配置”對話框，如其顯示的那樣，你能做的就是選中一個或兩個復選框。欲了解更多關于在域環境中創建、實施高級審計策略配置的信息，請訪問Technet article。 更多審核策略設置信息，請訪問Technet Security Audit Policy Reference。

賬戶訪問子類別設置

• 審計憑證驗證：當一個用戶帳號登錄申請需要提交憑證時，決定操作系統是否生成審計事件。通常情況下，域控制器會用到該設置，因為此項設置僅僅記錄發生在其它Windows機器上的本地賬戶登錄。
• 審計 Kerberos身份驗證：決定操作系統是否為Kerberos身份驗證TGT（票證授予票證）請求生成審計事件。該請求主要發生在客戶機上。
• 審計Kerberos服務票據業務:決定操作系統是否為Kerberos服務票據請求生成審計事件（使用TGT獲取權限來訪問Kerberos控件下的其它資源）。該請求主要也發生在客戶機上。
• 審計其它賬戶登錄事件：跟蹤各種其它事件，這些事件有關之前提及項目以外的用戶登錄憑證請求。這些項目包括遠程桌面登錄和斷開、鎖定或解鎖定一個工作站、進入或退出一個安全屏幕保護程序或檢測一個重復攻擊的Kerberos（即反復提交相同的信息）。無線網絡訪問也屬于這個子類別。

組策略設置：賬戶管理

圖3：賬戶管理審計設置可以用來審計用戶及計算機賬戶和組的變化

以下是賬戶管理的子類別設置：

• 審計應用組管理：當執行應用組管理任務時，決定操作系統是否生成審計事件。這類任務包括創建、修改、刪除一個應用組和添加或刪除一個組成員。
• 審計計算機賬戶管理：當創建、修改或刪除一個計算機賬戶時，決定操作系統是否生成審計事件。該設置用在域環境的計算機上監控賬戶相關的變化。
• 審計分配組管理：當執行分配組管理任務時，決定操作系統是否生成審計事件。該設置只在運行Windows Server 2008的計算機上有效。
• 審計其他賬戶管理事件：當訪問一個賬戶密碼哈希（主要發生在活動目錄遷移工具移動密碼數據時）或當密碼檢測策略API被調用時（可能是惡意的），決定操作系統是否生成審計事件。
• 審計安全組管理：當執行各種組管理任務，包括創建、改變或刪除一個安全組、添加或刪除一個安全組成員或者改變一個安全組的相關類型時，決定操作系統是否生成審計事件。（安全組常用于管理訪問控制權限和分布列表）
• 審計用戶賬號管理：當各類用戶賬戶管理任務發生時，決定操作系統是否生成審核事件。其中包括創建、改變、刪除、重命名、禁用或啟用和鎖定或解除鎖定用戶賬戶。其他項目包括設置和修改用戶賬戶密碼、為用戶賬戶添加SID歷史、設置目錄服務修復模式密碼（僅管理員）、修改管理員組中賬戶權限和備份或恢復憑證管理器憑證。

詳細追蹤

圖4：詳細追蹤子類別，它極少使用，能審計低級別的系統活動，可能生成大量的事件。

以下是詳細追蹤的子類別：

• 審計DPAPI活動：決定操作系統是否生成審核事件，當加密或解密指令調用數據保護應用接口（DPAPI）時。DPAPI用于保護敏感數據，如存儲的密碼和密鑰。
• 審計進程創建：當進程創建，并且有創建它的用戶或程序名時，決定操作系統是否產生審計事件。該類別通常用于對計算機行為和用戶活動做級別的分析。
• 審計進程終止：當進程終止時（這里試圖在終止失敗時追蹤失敗報告) 決定操作系統是否生成審計事件。該類別通常用于計算機行為和用戶活動的低級別分析。
• 審計RPC事件：當入站遠程程序指令連接啟動時決定操作系統是否生成審計事件。該子類別極少使用。

活動目錄域服務訪問

圖5：這些設置審計與活動目錄域服務對象的訪問和修改有關的各種活動，而且這些設置只會在域控制器上生成審計事件。在這里，我們將不詳細討論該類別，因為該類別的內容僅與Windows 2008 R2 Server有關。

原文：http://www.searchsv.com.cn/showcontent_44934.htm

【編輯推薦】

1. 專題：Windows組策略 系統管理員手中的管理利器
2. 五個必須立刻實施的Windows組策略選項
3. 組策略規劃和部署指南