可以通过在 Windows 安全事件日志中记录事件来监视联机响应程序的操作。联机响应程序允许配置下列审核事件:

  • 启动/停止联机响应程序服务。将记录联机响应程序服务的每个启动/停止事件。

  • 对联机响应程序配置的更改。将记录所有联机响应程序配置的更改,包括审核设置的更改。

  • 对联机响应程序安全设置的更改。将记录所有对联机响应程序服务请求和管理界面访问控制列表 (ACL) 的更改。

  • 已提交给联机响应程序的请求。将记录联机响应程序服务处理的所有请求。此选项可能会对服务产生很高的负载,应逐个评估。注意,只有要求联机响应程序进行签名操作的请求将生成并审核事件;不会记录以前缓存的响应的请求。

若要完成此过程,必须在托管联机响应程序的服务器上具有“管理联机响应程序”权限。有关管理公用基础机构 (PKI) 的详细信息,请参阅实现基于角色的管理

若要启用联机响应程序操作的审核,请执行下列操作:
  1. 打开“联机响应程序”管理单元,然后选择联机响应程序。

  2. “操作”菜单上单击“响应程序属性”,或在“操作”窗格中单击“响应程序属性”

  3. 单击“审核”选项卡,选择要记录的联机响应程序审核选项,然后单击“确定”

只有启用了“审核对象访问”策略,审核事件才会记录到 Windows 安全日志中。

若要完成此过程,您必须是托管联机响应程序的服务器上的管理员。有关管理 PKI 的详细信息,请参阅实现基于角色的管理

若要启用审核对象访问策略,请执行下列操作:
  1. 打开本地组策略编辑器。

  2. “计算机配置”下,依次展开“Windows 设置”“安全设置”“本地策略”,然后单击“审核策略”

  3. 双击“审核对象访问”策略。

  4. 选中“成功”“失败”复选框,然后单击“确定”

其他参考


目录