对象访问事件
使用对象访问事件可以跟踪网络或计算机上访问特定对象或对象类型的尝试。若要审核文件、目录、注册表项或任何其他对象,必须为成功和失败事件启用“对象访问”类别。例如,审核文件操作需要启用“文件系统”子类别,审核注册表访问需要启用“注册表”子类别。
证明该策略对于外部审核员有效非常困难。没有简单的方法验证在所有继承的对象上是否设置了正确的 SACL。
设置描述
文件系统审核用户访问文件系统对象的尝试。仅对于具有 SACL 的对象,并且仅当请求的访问类型(如写入、读取或修改)以及进行请求的帐户与 SACL 中的设置匹配时才生成安全审核事件。
注册表审核访问注册表对象的尝试。仅对于具有 SACL 的对象,并且仅当请求的访问类型(如读取、写入或修改)以及进行请求的帐户与 SACL 中的设置匹配时才生成安全审核事件。
内核对象审核访问系统内核(包括 Mutexes 和 Semaphores)的尝试。只有具有匹配的 SACL 的内核对象才生成安全审核事件。
备注
审核: 对全局系统对象的访问进行审核策略设置控制内核对象的默认 SACL。
SAM审核由访问安全帐户管理器 (SAM) 对象的尝试生成的事件。
证书服务审核 Active Directory 证书服务 (AD CS) 操作。
生成的应用程序审核通过使用 Windows 审核应用程序编程接口 (API) 生成事件的应用程序。设计为使用 Windows 审核 API 的应用程序使用此子类别记录与其功能有关的审核事件。
句柄操作审核当打开或关闭对象句柄时生成的事件。只有具有匹配的 SACL 的对象才生成安全审核事件。
文件共享审核访问共享文件夹的尝试。但是,当创建、删除文件夹或更改其共享权限时不生成任何安全审核事件。
详细的文件共享审核访问共享文件夹上文件和文件夹的尝试。“详细的文件共享”设置在每次访问文件或文件夹时记录一个事件,而“文件共享”设置仅为客户端和文件共享之间建立的任何连接记录一个事件。“详细的文件共享”审核事件包括有关用来授予或拒绝访问的权限或其他条件的详细信息的事件。
筛选平台数据包丢弃审核由 Windows 筛选平台 (WFP) 丢弃的数据包。
筛选平台连接审核 WFP 允许或阻止的连接。
其他对象访问事件审核由管理任务计划程序作业或 COM+ 对象生成的事件。
策略更改事件
使用策略更改事件可以跟踪对本地系统或网络上重要安全策略的更改。由于策略通常是由管理员建立的,用于确保网络资源的安全,因此任何更改或更改这些策略的尝试都可能是网络安全管理的重要方面。
设置描述
审核策略更改审核安全审核策略设置的更改。
身份验证策略更改审核由对身份验证策略的更改生成的事件。
授权策略更改审核由对授权策略的更改生成的事件。
MPSSVC 规则级别策略更改审核由 Windows 防火墙使用的策略规则的更改生成的事件。
筛选平台策略更改审核由对 WFP 的更改生成的事件。
其他策略更改事件审核由策略更改类别中不审核的其他安全策略更改生成的事件。
