如何知道 Windows 安全审核中的新增功能 新玩法(2)

　　Windows Server 2008 R2 和 Windows7 中的审核增强功能支持对负责实现、维护和监视组织的物理和信息资产的现行安全的 IT 专业人士的需要。

　　这些设置可以帮助管理员回答诸如以下内容的问题：

　　谁正在访问我们的资产?

　　他们正在访问哪些资产?

　　他们在何时何地访问这些资产?

　　如何获得访问权限?

　　安全意识和取证跟踪的期望是这些问题之后的重要动力。越来越多的组织审核员要求并评估该信息的质量。

　　是否有其他特殊注意事项?

　　很多特殊注意事项适用于与 Windows Server 2008 R2 和 Windows7 中与审核增强功能关联的各种任务：

　　创建审核策略。 若要创建高级 Windows 安全审核策略，必须在运行 Windows Server 2008 R2 或 Windows7 的计算机上使用 GPMC 或本地安全策略管理单元。(安装远程服务器管理工具之后，可以在运行 Windows7 的计算机上使用 GPMC。)

　　应用审核策略设置。 如果使用组策略应用高级审核策略设置和全局对象访问设置，则客户端计算机必须运行 Windows Server 2008 R2 或 Windows7。此外，只有运行 Windows Server 2008 R2 或 Windows7 的计算机才能提供“访问原因”报告数据。

　　开发审核策略模型。 若要计划高级安全审核设置和全局对象访问设置，必须使用以运行 Windows Server 2008 R2 的域控制器为目标的 GPMC。

　　分发审核策略。 开发包含高级安全审核设置的组策略对象 (GPO) 之后，可以使用运行任何 Windows 服务器操作系统的域控制器对其进行分发。但是，如果无法将运行 Windows7 的客户端计算机放在单独的 OU 中，则应该使用 Windows Management Instrumentation (WMI) 筛选以确保仅将高级策略设置应用于运行 Windows7 的客户端计算机。

　　备注

　　还可以将高级审核策略设置应用于运行 WindowsVista 的客户端计算机。但是，必须使用 Auditpol.exe 登录脚本单独为这些客户端计算机创建和应用审核策略。

　　重要事项

　　将“本地策略\审核策略”下的基本审核策略设置与高级审核策略配置下的高级设置一起使用可能会造成意外的结果。因此，不应该将两组审核策略设置组合使用。如果使用高级审核策略配置设置，则应该启用“本地策略\安全选项”下的“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”策略设置。这将通过强制忽略基本安全审核来防止类似设置之间的冲突。

　　此外，若要计划和部署安全事件审核策略，管理员需要解决很多操作和战略问题，包括：

　　为什么需要审核策略?

　　哪些活动和事件对于组织最重要?

　　可以从审核策略中忽略哪些类型的审核事件?

　　希望占用管理员多少时间和网络资源来生成、收集和存储事件以及分析数据?

　　哪些版本包含此功能?

　　可以处理组策略的所有版本的 Windows Server 2008 R2 和 Windows7 都可以配置为使用这些安全审核增强功能。无法加入域的 Windows Server 2008 R2 和 Windows7 版本无法访问这些功能。32 位和 64 位版本的 Windows7 之间的安全审核支持没有任何差别。

　　此功能提供了哪些新用途?

　　Windows Server 2008 R2 和 Windows7 提供了以下新功能：全局对象访问审核、“访问原因”设置以及高级审核策略设置。

　　全局对象访问审核

　　使用全局对象访问审核，管理员可以为文件系统或注册表定义每种对象类型的计算机 SACL。然后将指定的 SACL 自动应用于该类型的每个对象。

　　审核员将能够通过只查看全局对象访问审核策略设置的内容来证实系统中的每个资源受审核策略的保护。例如，策略设置“跟踪组管理员所进行的所有更改”将足以表明该策略有效。

　　资源 SACL 对于诊断方案也非常有用。例如，将全局对象访问审核策略设置为记录特定用户的所有活动以及在资源(文件系统、注册表)中启用“访问失败”审核策略将帮助管理员快速确定系统中的哪些对象拒绝用户访问。

　　备注

　　如果在计算机上配置了文件或文件夹 SACL 和全局对象访问审核策略(或者单个注册表设置 SACL 和全局对象访问审核策略)，则有效的 SACL 源于将文件或文件夹 SACL 和全局对象访问审核策略组合。这意味着如果活动与文件或文件夹 SACL 或者全局对象访问审核策略匹配，则会生成一个审核事件。

　　“访问原因”设置

　　Windows 中有多个事件，无论操作成功还是失败都会进行审核。这些事件通常包括用户、对象和操作，但它们缺少允许或拒绝该操作的原因。通过记录原因、基于的特定权限以及某个人访问企业资源的原因，在 Windows Server 2008 R2 和 Windows7 中改进了取证分析和支持方案。