可以通过在 Windows 安全事件日志中记录事件来监视联机响应程序的操作。联机响应程序允许配置下列审核事件:
-
启动/停止联机响应程序服务。将记录联机响应程序服务的每个启动/停止事件。
-
对联机响应程序配置的更改。将记录所有联机响应程序配置的更改,包括审核设置的更改。
-
对联机响应程序安全设置的更改。将记录所有对联机响应程序服务请求和管理界面访问控制列表 (ACL) 的更改。
-
已提交给联机响应程序的请求。将记录联机响应程序服务处理的所有请求。此选项可能会对服务产生很高的负载,应逐个评估。注意,只有要求联机响应程序进行签名操作的请求将生成并审核事件;不会记录以前缓存的响应的请求。
若要完成此过程,必须在托管联机响应程序的服务器上具有“管理联机响应程序”权限。有关管理公用基础机构 (PKI) 的详细信息,请参阅实现基于角色的管理。
若要启用联机响应程序操作的审核,请执行下列操作: |
打开“联机响应程序”管理单元,然后选择联机响应程序。
在“操作”菜单上单击“响应程序属性”,或在“操作”窗格中单击“响应程序属性”。
单击“审核”选项卡,选择要记录的联机响应程序审核选项,然后单击“确定”。
只有启用了“审核对象访问”策略,审核事件才会记录到 Windows 安全日志中。
若要完成此过程,您必须是托管联机响应程序的服务器上的管理员。有关管理 PKI 的详细信息,请参阅实现基于角色的管理。
若要启用审核对象访问策略,请执行下列操作: |
打开本地组策略编辑器。
在“计算机配置”下,依次展开“Windows 设置”、“安全设置”和“本地策略”,然后单击“审核策略”。
双击“审核对象访问”策略。
选中“成功”和“失败”复选框,然后单击“确定”。
其他参考
-
管理联机响应程序
-
审核吊销配置的更改