通过监视对受控资源的访问和对授权策略的更改,可以追踪潜在的安全性问题,帮助确保用户责任,并在违反安全性时提供证据。

审核的类型

借助授权管理器,您可以使用两种审核:运行时审核和授权存储更改审核。

运行时审核

运行时审核有以下两种情况:

  • 运行时应用程序初始化审核,它在打开应用程序时生成审核。

  • 运行时客户端环境和访问检查审核,它在创建客户端环境时以及每次客户端要求访问检查时生成审核。访问检查基于 Platform SDK 的“授权”章节中描述的 AccessCheck 方法。有关与授权相关的应用程序编程接口 (API) 的详细信息,请参阅授权 (https://go.microsoft.com/fwlink/?linkid=64031)(可能为英文网页)。

可以将运行时审核配置为记录成功事件、记录失败事件,或者同时记录成功和失败事件。

授权存储更改审核

如果启用授权存储更改审核,则每次修改授权存储时都将生成审核。审核将记录所有成功的和失败的事件。

对于授权存储更改审核,授权管理器支持 NTFS 文件系统(适用于基于 XML 的授权存储)、Active Directory 域服务 (AD DS)、Active Directory 轻型目录服务 (AD LDS) 和 Microsoft SQL Server。

查找审核事件

若要查看授权管理器生成的审核事件,请查看相应计算机上的事件日志:

  • 运行时审核事件位于运行应用程序的客户端计算机的安全日志中。

  • 授权存储更改审核事件位于存储所在的计算机的安全日志中。

    • 在基于 XML 的授权存储情况下,审核记录将在存储 XML 文件的计算机的事件查看器中找到。

    • 在使用 AD DS 或 AD LDS 的授权存储情况下,审核记录将在所访问的域控制器或 AD LDS 服务器的事件查看器中找到。

    • 在基于 SQL 的授权存储情况下,审核记录将在承载 SQL Server 的计算机的事件查看器中找到。

审核可用性

审核的可用性取决于下列内容:

  • 授权存储是否基于 AD DS、AD LDS、XML 或 SQL。

  • 审核在授权存储级别、应用程序级别还是作用域级别配置。

下表描述了两种审核类型的可用性。

级别 可以进行运行时审核的位置 可以在此级别配置运行时审核的位置 可以进行授权存储更改审核的位置

授权存储
  • XML

  • AD DS 和 AD LDS

  • SQL Server
  • XML

  • AD DS 和 AD LDS

  • SQL Server
  • XML

  • AD DS 和 AD LDS

  • SQL Server

应用程序
  • XML

  • AD DS 和 AD LDS

  • SQL Server
  • XML

  • AD DS 和 AD LDS

  • SQL Server
  • AD DS 和 AD LDS

  • SQL Server

作用域
  • XML

  • AD DS 和 AD LDS

  • SQL Server

不可用(在应用程序级别配置)
  • AD DS 和 AD LDS

  • SQL Server

若要使用审核,必须选中“审核”选项卡上相应的复选框。若要启用运行时审核,请选中“运行时应用程序初始化审核”复选框。若要启用授权存储更改审核,请选中“运行时客户端上下文和访问检查审核”复选框。

配置要允许审核的系统

实施审核之前,必须对审核策略作出决定。审核策略指定要审核的安全相关事件的类别。默认情况下,首次安装 Windows 时禁用所有审核类别。

为了配置要审核的应用程序和作用域,必须在授权存储所在的计算机上具有“管理审核和安全日志”特权。通常这是通过作为内置管理员组成员进行登录,或在系统提示时提供管理员的密码而实现的。

如果授权存储基于 XML,则必须指定对象访问审核。如果授权存储基于 AD DS 或 AD LDS,则必须指定目录服务访问审核。

为了生成运行时客户端上下文和访问检查审核,必须向使用授权管理器的应用程序用户授予“生成安全审核”特权。如果应用程序用户并不持有此特权,则不会记录任何审核事件。

启用对象访问审核

默认情况下,对象访问审核是关闭的。若要将其打开,需要使用域、域控制器或者 AD DS 或 AD LDS 中其他适用的组织单位级别中的组策略。还可以使用本地安全策略。

如果基于 XML 的授权存储位于域控制器上,则“默认域控制器策略”组策略对象 (GPO) 是最适合打开对象访问审核的位置。如果基于 XML 的授权存储位于工作站或成员服务器上,则可编辑该计算机的本地 GPO 以设置本地安全策略,但这些设置将仅在下次刷新组策略安全设置之后才能应用。如果仅生成审核一次,这可能有帮助。但是,如果计划定期生成安全审核,则应编辑通过 AD DS 应用于计算机的其他 GPO。

若要启用对象访问审核,请配置以下对象:

  • 对于本地计算机

    1. 打开本地组策略编辑器。

    2. 在控制台树中,依次双击“计算机配置”“Windows 设置”“安全设置”“本地策略”“审核策略”

    3. 单击“审核对象访问”

    4. 在详细信息窗格中,选中“定义这些策略设置”复选框,选中“成功”复选框,然后选中“失败”复选框。

  • 仅对于域控制器

    1. 依次单击“开始”“所有程序”“管理工具”,然后双击“域控制器安全策略”

    2. 在控制台树中,依次双击“计算机配置”“Windows 设置”“安全设置”“本地策略”“审核策略”

    3. 单击“审核对象访问”

    4. 在详细信息窗格中,选中“定义这些策略设置”复选框,选中“成功”复选框,然后选中“失败”复选框。

  • 对于域或组织单位

    1. 打开组策略管理控制台 (GPMC)。

    2. 右键单击要审核的 GPO,然后单击“编辑”

    3. 在控制台树中,依次双击“计算机配置”“策略”“安全设置”“本地策略”“审核策略”

    4. 单击“审核对象访问”

    5. 在详细信息窗格中,选中“定义这些策略设置”复选框,选中“成功”复选框,然后选中“失败”复选框。

其他注意事项

  • 必须安装 GPMC 才能编辑基于域的策略设置。GPMC 是使用服务器管理器安装的 Windows Server 2008 的附加功能。

  • 如果正在编辑本地 GPO,则“定义这些策略设置”复选框不会显示在本地组策略编辑器中。只有正在编辑存储在 AD DS 中的 GPO,该复选框才会显示。

  • 如果“成功”“失败”审核复选框都不可用,则可能已通过安全策略(在 AD DS 结构的更高级别中起作用)选中了“定义这些策略设置”复选框。在这种情况下,需要找出选中“定义这些策略设置”复选框的位置,并清除此设置。若要找到此设置,请查看影响该计算机的 GPO。

启用目录访问审核

默认情况下,目录服务访问审核处于关闭状态。若要将其打开,需要使用域、域控制器或者 AD DS 中其他适用的组织单位级别中的组策略。

若要启用对象访问审核,请展开以下节点:“计算机配置”“Windows 设置”“安全设置”“本地策略”“审核策略”,然后双击“审核目录服务访问”

选中“定义这些策略设置”复选框,选中“成功”复选框,然后选中“失败”复选框。

其他注意事项

  • 如果“成功”“失败”审核复选框都不可用,则可能已通过安全策略(在 AD DS 更高级别中起作用)选中了“定义这些策略设置”复选框。在这种情况下,需要找出选中“定义这些策略设置”复选框的位置,并清除该复选框。若要找到此设置,请查看影响域控制器的 GPO。

  • 编辑 GPO 后,请运行 gpupdate 命令以确保所做更改立即生效。

由继承启用的审核

无论本地设置如何,都会进行任何通过继承获得的审核。例如,对于存储在 AD DS 中的授权存储,审核策略可以从 AD DS 中的父组织单位中继承。对于基于 XML 的授权存储,对包含 XML 文件的文件夹的审核策略都适用。

目录