审核设置所有审核设置的破绽、对策和潜在影响都是雷同的。因而,这些术语仅作一次阐明。每处先容后面均对各个设置进行了扼要解释。
各个审核设置的选项包括:
成功。要求的操作得以成功执行时会生成一个审核项。
失败。恳求的操作失败时会生成一个审核项。
无审核。相干操作不会生成审核项。
漏洞
如果未配置任何审核设置,将很难或者不可能确定在碰到安全事件时所发生的情形。不外,如果因为配置了审核设置而导致有太多的受权运动生成事件,则安全事件日志将被无用的数据填满。此外,如果为大量对象配置审核设置,则会影响计算机的整体机能。
对策
应为组织中的所有计算机启用适当的审核策略设置,以便用户可以对其操作负责,并且未经授权的操作可以被检测和跟踪。
潜在影响
如果组织内的计算机上未配置审核设置,或者审核设置配置得过于松散,发生安全事件后将没有可用于网络辩论剖析的足够证据。但是,如果审核设置过于严厉,所有无意思的项可能会使安全日志中至关重要的项变得不显明,并且计算机性能可能会受到重大影响。在特定管制行业内运作的公司可能有法定任务记录下特定事件或活动。
审核帐户登录事件此策略设置确定是否审核用户在不同计算机(非记录事件和验证帐户的计算机)上登录或注销的每个实例。如果配置了此策略设置,则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在帐户登录尝试成功时生成一个审核项,该审核项的信息对记帐以及事件发生后的争辩十分有用,可用来确定哪个人成功登录到哪台计算机。失败审核会在帐户登录尝试失败时生成一个审核项,该审核项对于入侵检测非常有用。但此策略设置还会导致谢绝服务 (DoS) 袭击的可能性。启用了“审核:如果无奈记录安全审核则即时关闭系统”设置时,攻打者可能会生成数百万个登录失败项,并将安全事件日志填满,导致强迫封闭计算机。
假如将域把持器上的“审核帐户登录事件”设置配置为“成功”,依据该域节制器验证每位用户时都将记载一项,即便该用户实际上是登录到参加该域的工作站或服务器。
审核帐户管理此策略设置确定是否对计算机上的每个帐户管理事件进行审核。帐户管理事件的示例包括:
创建、修改或删除用户帐户或组。
重命名、禁用或启用用户帐户。
设置或">修改密码。
如果配置了“审核帐户治理”设置,则可指定是否审核成功、审核失败或基本不审核此事件类型。成功审核会在任何帐户管理事件成功时生成一个审核项,并且应在企业中的所有盘算机上启用这些成功审核。组织在响应保险事件时,要害是他们可能跟踪是谁创立、更改或删除了某个帐户。失败审核会在任何帐户管理事件失败时天生一个审核项。
审核目录服务访问此策略设置确定是否对用户访问 Active Directory® 目录服务对象进行审核,该服务对象具有一个相关联统访问控制列表 (SACL)。SACL 是用户和组的列表。对象上针对这些用户或组的操作将在基于 Microsoft Windows 的网络长进行审核。
如果配置了“审核目录服务访问”设置,则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在用户成功访问具有 SACL 的 Active Directory 对象时生成一个审核项,SACL 唆使应答用户请求的操作进行审核。失败审核会在用户试图访问具有要求审核的 SACL 的 Active Directory 对象失败时生成一个审核项。(两品种型的审核项都在告诉用户请求成功或失败之前创建。)如果启用此策略设置并在目录对象上配置 SACL,域控制器上的安全日志中会生成大量的条目。仅在确切要使用所创建的信息时才应启用这些设置。
注意:通过 Active Directory 对象“属性”对话框中的“安全”选项卡可在该对象上配置 SACL。除了仅应用于 Active Directory 对象,而不应用于文件体系和注册表对象之外,此方式与“审核对象访问”相似。
审核登录事件此策略设置确定是否审核用户登录、注销或到记录审核事件的计算机的网络衔接的每个实例。如果在域控制器上记录成功的帐户登录审核事件,工作站登录尝试将不生成登录审核。只有到域控制器本身的交互式登录和网络登录尝试才会在域控制器上生成登录事件。总而言之,帐户登录事件是在帐户所在的地位生成的,而登录事件是在登录尝试发生的位置生成的。