Windows 安全审核中的新增功能

wwcqetxc

　　主要更改有哪些？
　　在 Windows Server® 2008 R2 和 Windows®7 中有许多审核增强功能，这些增强功能可提高安全审核日志中的详细级别并简化审核策略的部署和管理。这些增强功能包括：
　　全局对象访问审核。 在 Windows Server 2008 R2 和 Windows7 中，管理员可以为文件系统或注册表定义计算机范围系统访问控制列表 （SACL）。然后将指定的 SACL 自动应用于该类型的每个对象。这对于验证计算机上的所有关键文件、文件夹以及注册表设置是否受保护以及确定系统资源发生问题的时间，可能非常有用。
　　“访问原因”报告。 此访问控制项 （ACE） 列表提供的权限用于决定允许还是拒绝访问对象。这对于描述允许或阻止出现特殊可审核事件的权限（如组成员身份），可能非常有用。
　　高级审核策略设置。 可以使用这 53 个新设置代替“本地策略\审核策略”下的九个基本审核设置，以允许管理员更加明确地以他们要审核的活动类型为目标，去掉了可能使审核日志难于管理和解密的不必要的审核活动。
　　以下部分更加详细地介绍这些增强功能。
　　这些审核增强功能有何功能？
　　在 WindowsXP 中，管理员具有九种类别的安全审核事件，他们可以用于监视成功、失败或者成功和失败。这些事件范围非常广泛并且可以由各种类似操作触发，其中一些可以生成大量事件日志项。
　　在 WindowsVista（R） 和 Windows Server2008 中，可审核事件的数量从 9 增加到 53，这使得管理员在可审核的事件数量和类型方面更具选择性。但是，与九个基本的 WindowsXP 事件不同，这些新的审核事件未与组策略集成，并且只能使用 Auditpol.exe 命令行工具生成的登录脚本进行部署。
　　在 Windows Server 2008 R2 和 Windows7 中，所有审核功能都已经与组策略集成。这允许管理员在组策略管理控制台 （GPMC） 或本地安全策略管理单元中为域、站点或组织单位 （OU） 配置、部署和管理这些设置。Windows Server 2008 R2 和 Windows7 更便于 IT 专业人士跟踪网络上进行精确定义的重要活动的时间。
　　Windows Server 2008 R2 和 Windows7 中的审核策略增强功能允许管理员连接业务规则和审核策略。例如，在域和 OU 的基础上应用审核策略设置将允许管理员描述规则的遵从性，例如：
　　跟踪服务器上具有财务信息的所有组管理员活动。
　　跟踪已定义的员工组访问的所有文件。
　　确认在访问时将正确的 SACL 应用于每个文件、文件夹和注册表项。
　　谁会对该功能感兴趣？
　　Windows Server 2008 R2 和 Windows7 中的审核增强功能支持对负责实现、维护和监视组织的物理和信息资产的现行安全的 IT 专业人士的需要。
　　这些设置可以帮助管理员回答诸如以下内容的问题：
　　谁正在访问我们的资产？
　　他们正在访问哪些资产？
　　他们在何时何地访问这些资产？
　　如何获得访问权限？
　　安全意识和取证跟踪的期望是这些问题之后的重要动力。越来越多的组织审核员要求并评估该信息的质量。
　　是否有其他特殊注意事项？
　　很多特殊注意事项适用于与 Windows Server 2008 R2 和 Windows7 中与审核增强功能关联的各种任务：
　　创建审核策略。 若要创建高级 Windows 安全审核策略，必须在运行 Windows Server 2008 R2 或 Windows7 的计算机上使用 GPMC 或本地安全策略管理单元。（安装远程服务器管理工具之后，可以在运行 Windows7 的计算机上使用 GPMC。）
　　应用审核策略设置。 如果使用组策略应用高级审核策略设置和全局对象访问设置，则客户端计算机必须运行 Windows Server 2008 R2 或 Windows7。此外，只有运行 Windows Server 2008 R2 或 Windows7 的计算机才能提供“访问原因”报告数据。
　　开发审核策略模型。 若要计划高级安全审核设置和全局对象访问设置，必须使用以运行 Windows Server 2008 R2 的域kzq为目标的 GPMC。
　　分发审核策略。 开发包含高级安全审核设置的组策略对象 （GPO） 之后，可以使用运行任何 Windows 服务器操作系统的域kzq对其进行分发。但是，如果无法将运行 Windows7 的客户端计算机放在单独的 OU 中，则应该使用 Windows Management Instrumentation （WMI） 筛选以确保仅将高级策略设置应用于运行 Windows7 的客户端计算机。
　　备注
　　还可以将高级审核策略设置应用于运行 WindowsVista 的客户端计算机。但是，必须使用 Auditpol.exe 登录脚本单独为这些客户端计算机创建和应用审核策略。
　　重要事项
　　将“本地策略\审核策略”下的基本审核策略设置与高级审核策略配置下的高级设置一起使用可能会造成意外的结果。因此，不应该将两组审核策略设置组合使用。如果使用高级审核策略配置设置，则应该启用“本地策略\安全选项”下的“审核： 强制审核策略子类别设置（Windows Vista 或更高版本）替代审核策略类别设置”策略设置。这将通过强制忽略基本安全审核来防止类似设置之间的冲突。
　　此外，若要计划和部署安全事件审核策略，管理员需要解决很多操作和战略问题，包括：
　　为什么需要审核策略？
　　哪些活动和事件对于组织最重要？
　　可以从审核策略中忽略哪些类型的审核事件？
　　希望占用管理员多少时间和网络资源来生成、收集和存储事件以及分析数据？
　　哪些版本包含此功能？
　　可以处理组策略的所有版本的 Windows Server 2008 R2 和 Windows7 都可以配置为使用这些安全审核增强功能。无法加入域的 Windows Server 2008 R2 和 Windows7 版本无法访问这些功能。32 位和 64 位版本的 Windows7 之间的安全审核支持没有任何差别。