Windows Server 审计策略与事件管理全解析
1. 审计策略选项
在Windows系统中,有一些与审计策略相关的可选功能,可通过AuditPol.exe或在本地或组策略模式下的安全策略用户界面的“安全选项”部分启用。
1.1 CrashOnAuditFail设置
CrashOnAuditFail是符合单级操作系统通用标准保护配置文件所需的设置。通用标准要求,当审计系统无法生成或存储安全事件时,合规系统必须能够立即停止所有可审计活动。在Windows中,当审计系统无法记录安全事件时,系统会以蓝屏的形式停止运行。当CrashOnAuditFail发生时,系统重启后只有管理员能够登录,直到清除安全事件日志并解决导致失败的问题。
该设置有三种状态:
- 功能未启用。
- 功能已启用,但系统尚未崩溃。
- 功能已启用,由于审计系统故障导致系统崩溃并已重启,只有计算机管理员能够登录。在将CrashOnAuditFail设置回启用或禁用状态并清除日志之前,普通用户将无法登录。
需要注意的是,只有在绝对必要时才使用此设置,因为它会将可能的抵赖攻击转变为明确的拒绝服务攻击。
1.2 FullPrivilegeAuditing设置
如果通过审计策略启用FullPrivilegeAuditing设置,除SeAuditPrivilege外的所有权限使用事件都会被生成。在正常情况下
