资源预览内容
第1页 / 共7页
第2页 / 共7页
第3页 / 共7页
第4页 / 共7页
第5页 / 共7页
第6页 / 共7页
第7页 / 共7页
亲,该文档总共7页全部预览完了,如果喜欢就下载吧!
资源描述
Windows Server 2008 R2 和 Windows 7 中的审核增强功能支持对负责实现、维护和监视组织的物理和信息资产的现行安全的 IT 专业人士的需要。这些设置可以帮助管理员回答诸如以下内容的问题:谁正在访问我们的资产?他们正在访问哪些资产?他们在何时何地访问这些资产?如何获得访问权限?安全意识和取证跟踪的期望是这些问题之后的重要动力。越来越多的组织审核员要求并评估该信息的质量。是否有其他特殊注意事项?是否有其他特殊注意事项?很多特殊注意事项适用于与 Windows Server 2008 R2 和 Windows 7 中与审核增强功能关联的各种任务:创建审核策略。创建审核策略。 若要创建高级 Windows 安全审核策略,必须在运行 Windows Server 2008 R2 或 Windows 7 的计算机上使用 GPMC 或本地安全策略管理单元。(安装远程服务器管理工具之后,可以在运行 Windows 7 的计算机上使用 GPMC。) 应用审核策略设置。应用审核策略设置。 如果使用组策略应用高级审核策略设置和全局对象访问设置,则客户端计算机必须运行 Windows Server 2008 R2 或 Windows 7。此外,只有运行 Windows Server 2008 R2 或 Windows 7 的计算机才能提供“访问原因”报告数据。开发审核策略模型。开发审核策略模型。 若要计划高级安全审核设置和全局对象访问设置,必须使用以运行 Windows Server 2008 R2 的域控制器为目标的 GPMC。分发审核策略。分发审核策略。 开发包含高级安全审核设置的组策略对象 (GPO) 之后,可以使用运行任何 Windows 服务器操作系统的域控制器对其进行分发。但是,如果无法将运行 Windows 7 的客户端计算机放在单独的 OU 中,则应该使用 Windows Management Instrumentation (WMI) 筛选以确保仅将高级策略设置应用于运行 Windows 7 的客户端计算机。备注备注 还可以将高级审核策略设置应用于运行 Windows Vista 的客户端计算机。但是,必须使用 Auditpol.exe 登录脚本单独为这些客户端计算机创建和应用审核策略。 重要事项重要事项 将“本地策略本地策略审核策略审核策略”下的基本审核策略设置与高级审核策略配置高级审核策略配置下的高级设置一起使用可能会造成意外的结果。因此,不应该将两组审核策略设置组合使用。如果使用高级审核策略配置设置,则应该启用“本地策略本地策略安全选项安全选项”下的“审核审核: 强制审核策略子类别设置强制审核策略子类别设置(Windows Vista 或更高版本或更高版本)替代审核策略类别设置替代审核策略类别设置”策略设置。这将通过强制忽略基本安全审核来防止类似设置之间的冲突。 此外,若要计划和部署安全事件审核策略,管理员需要解决很多操作和战略问题,包括:为什么需要审核策略?哪些活动和事件对于组织最重要?可以从审核策略中忽略哪些类型的审核事件?希望占用管理员多少时间和网络资源来生成、收集和存储事件以及分析数据?哪些版本包含此功能?哪些版本包含此功能?可以处理组策略的所有版本的 Windows Server 2008 R2 和 Windows 7 都可以配置为使用这些安全审核增强功能。无法加入域的 Windows Server 2008 R2 和 Windows 7 版本无法访问这些功能。32 位和 64 位版本的 Windows 7 之间的安全审核支持没有任何差别。此功能提供了哪些新用途?此功能提供了哪些新用途?Windows Server 2008 R2 和 Windows 7 提供了以下新功能:全局对象访问审核、“访问原因”设置以及高级审核策略设置。全局对象访问审核全局对象访问审核使用全局对象访问审核,管理员可以为文件系统或注册表定义每种对象类型的计算机 SACL。然后将指定的 SACL 自动应用于该类型的每个对象。审核员将能够通过只查看全局对象访问审核策略设置的内容来证实系统中的每个资源受审核策略的保护。例如,策略设置“跟踪组管理员所进行的所有更改”将足以表明该策略有效。资源 SACL 对于诊断方案也非常有用。例如,将全局对象访问审核策略设置为记录特定用户的所有活动以及在资源(文件系统、注册表)中启用“访问失败”审核策略将帮助管理员快速确定系统中的哪些对象拒绝用户访问。备注备注 如果在计算机上配置了文件或文件夹 SACL 和全局对象访问审核策略(或者单个注册表设置 SACL 和全局对象访问审核策略),则有效的 SACL 源于将文件或文件夹 SACL 和全局对象访问审核策略组合。这意味着如果活动与文件或文件夹 SACL 或者全局对象访问审核策略匹配,则会生成一个审核事件。 “访问原因访问原因”设置设置Windows 中有多个事件,无论操作成功还是失败都会进行审核。这些事件通常包括用户、对象和操作,但它们缺少允许或拒绝该操作的原因。通过记录原因、基于的特定权限以及某个人访问企业资源的原因,在 Windows Server 2008 R2 和 Windows 7 中改进了取证分析和支持方案。高级审核策略设置高级审核策略设置在 Windows Server 2008 R2 和 Windows 7 中,可以使用域组策略配置和部署增强的审核策略,这样将降低管理成本和开销,并极大地提高了安全审核的灵活性和效率。 以下部分介绍组策略的高级审核策略配置高级审核策略配置节点中可用的新事件和事件类别。帐户登录事件帐户登录事件此类别中的事件帮助文档域尝试对帐户数据、域控制器或本地安全帐户管理器 (SAM) 进行身份验证。与登录和注销事件(它们跟踪访问特殊计算机的尝试)不同,此类别中的事件报告正在使用的帐户数据库。设置设置 描述描述 凭据验证审核由对用户帐户登录凭据的验证测试生成的事件。Kerberos 服务票证操作审核 Kerberos 服务票证请求生成的事件。其他帐户登录事件审核由响应为用户帐户登录提交的凭据请求(非凭据验证或 Kerberos 票证)生成的事件。 Kerberos 身份验证服务审核由 Kerberos 身份验证票证授予票证 (TGT) 请求生成的事件。帐户管理事件帐户管理事件可以使用此类别中的设置监视对用户和计算机帐户和组的更改。设置设置 描述描述 用户帐户管理审核对用户帐户的更改。计算机帐户管理审核由对计算机帐户的更改(如当创建、更改或删除计算机帐户时)生成的事件。安全组管理审核由对安全组的更改生成的事件。分发组管理审核由对分发组的更改生成的事件。备注备注 仅在域控制器上记录此子类别中的事件。 应用程序组管理审核由对应用程序组的更改生成的事件。其他帐户管理事件审核由此类别中不涉及的其他用户帐户更改生成的事件。详细跟踪的事件详细跟踪的事件可以使用详细跟踪的事件监视各个应用程序的活动,以了解计算机的使用方式以及该计算机上用户的活动。设置设置 描述描述 进程创建审核当创建或启动进程时生成的事件。还要审核创建该进程的应用程序或用户的名称。进程终止审核当进程结束时生成的事件。DPAPI 活动审核当对数据保护应用程序接口 (DPAPI) 进行加密或解密请求时生成的事件。DPAPI 用来保护机密信息,如存储的密码和密钥信息。有关 DPAPI 的详细信息,请参阅 Windows 数据保护(可能为英文网页)。RPC 事件审核入站远程过程调用 (RPC) 连接。DS 访问事件访问事件DS 访问事件提供对访问和修改 Active Directory(R) 域服务 (AD DS) 中对象的尝试进行较低级别的审核跟踪。仅在域控制器上记录这些事件。设置设置 描述描述 目录服务访问审核当访问 AD DS 对象时生成的事件。仅记录具有匹配的 SACL 的 AD DS 对象。此子类别中的事件与以前版本的 Windows 中可用的目录服务访问事件类似。 目录服务更改审核由对 AD DS 对象的更改生成的事件。当创建、删除、修改、移动或恢复对象时记录事件。目录服务复制审核两个 AD DS 域控制器之间的复制。详细的目录服务复制审核由域控制器之间详细的 AD DS 复制生成的事件。登录登录/注销事件注销事件使用登录和注销事件可以跟踪以交互方式登录计算机或通过网络登录计算机的尝试。这些事件对于跟踪用户活动以及标识网络资源上的潜在攻击尤其有用。设置设置 描述描述 登录审核由用户帐户在计算机上的登录尝试生成的事件。注销审核由关闭登录会话生成的事件。这些事件发生在所访问的计算机上。对于交互登录,在用户帐户登录的计算机上生成安全审核事件。帐户锁定审核由登录锁定帐户的失败尝试生成的事件。IPSec 主模式审核在主模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议 (AuthIP) 生成的事件。IPSec 快速模式审核在快速模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议 (AuthIP) 生成的事件。IPSec 扩展模式审核在扩展模式协商期间由 Internet 密钥交换协议 (IKE) 和已验证 Internet 协议 (AuthIP) 生成的事件。特殊登录审核由特殊登录生成的事件。其他登录/注销事件审核与“登录/注销”类别中不包含的登录和注销有关的其他事件。网络策略服务器审核由 RADIUS (IAS) 和网络访问保护 (NAP) 用户访问请求生成的事件。这些请求可以是授予、拒绝、放弃、隔离、锁定和解锁。对象访问事件对象访问事件使用对象访问事件可以跟踪网络或计算机上访问特定对象或对象类型的尝试。若要审核文件、目录、注册表项或任何其他对象,必须为成功和失败事件启用“对象访问”类别。例如,审核文件操作需要启用“文件系统”子类别,审核注册表访问需要启用“注册表”子类别。证明该策略对于外部审核员有效非常困难。没有简单的方法验证在所有继承的对象上是否设置了正确的 SACL。设置设置 描述描述 文件系统审核用户访问文件系统对象的尝试。仅对于具有 SACL 的对象,并且仅当请求的访问类型(如写入、读取或修改)以及进行请求的帐户与 SACL 中的设置匹配时才生成安全审核事件。注册表审核访问注册表对象的尝试。仅对于具有 SACL 的对象,并且仅当请求的访问类型(如读取、写入或修改)以及进行请求的帐户与 SACL 中的设置匹配时才生成安全审核事件。内核对象审核访问系统内核(包括 Mutexes 和 Semaphores)的尝试。只有具有匹配的 SACL 的内核对象才生成安全审核事件。备注备注 审核审核: 对全局系统对象的访问进行审核对全局系统对象的访问进行审核策略设置控制内核对象的默认 SACL。 SAM审核由访问安全帐户管理器 (SAM) 对象的尝试生成的事件。证书服务审核 Active Directory 证书服务 (AD CS) 操作。生成的应用程序审核通过使用 Windows 审核应用程序编程接口 (API) 生成事件的应用程序。设计为使用 Windows 审核 API 的应用程序使用此子类别记录与其功能有关的审核事件。 句柄操作审核当打开或关闭对象句柄时生成的事件。只有具有匹配的 SACL 的对象才生成安全审核事件。文件共享审核访问共享文件夹的尝试。但是,当创建、删除文件夹或更改其共享权限时不生成任何安全审核事件。详细的文件共享审核访问共享文件夹上文件和文件夹的尝试。“详细的文件共享”设置在每次访问文件或文件夹时记录一个事件,而“文件共享”设置仅为客户端和文件共享之间建立的任何连接记录一个事件。“详细的文件共享”审核事件包括有关用来授予或拒绝访问的权限或其他条件的详细信息的事件。筛选平台数据包丢弃审核由 Windows 筛选平台 (WFP) 丢弃的数据包。筛选平台连接审核 WFP 允许或阻止的连接。其他对象访问事件审核由
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号