auditpol 的全称是 Audit Policy。它是 Windows 中的一个命令行工具,允许管理员管理和配置 Windows 系统上的安全审计策略。该工具使您能够指定应该审计哪些事件,例如登录尝试、对象访问或系统配置更改等。auditpol 是一个强大的工具,允许管理员控制和查看 Windows 系统的审核策略。通过合理配置审核策略,可以帮助管理员有效地进行安全审计、事件响应和合规管理。
auditpol 命令是 Windows 系统中用于配置审核策略的命令。通过它,可以查看、修改和管理系统的审核策略。以下是 auditpol 命令的大类、小类、子类表格化分类和详细说明。
auditpol 命令选项解析
| 大类 | 小类 | 子类 | 描述 |
|---|---|---|---|
| 查询设置 | /get |
category |
获取某个类别的审核策略设置。 |
subcategory |
获取某个子类别的审核策略设置。 | ||
/get /r |
递归地获取所有类别的审核策略设置。 | ||
| 配置设置 | /set |
category |
设置某个类别的审核策略。 |
subcategory |
设置某个子类别的审核策略。 | ||
/set /r |
递归地设置所有类别的审核策略。 | ||
| 查看策略 | /display |
显示所有当前的审核策略设置。 | |
| 导出配置 | /export |
filename |
将当前审核策略配置导出到指定文件。 |
| 导入配置 | /import |
filename |
从指定的文件导入审核策略配置。 |
| 禁用设置 | /clear |
清除所有的审核策略设置。 | |
| 审核类别 | Logon/Logoff |
控制与登录和注销事件相关的审核策略。 | |
Account Logon |
控制帐户登录事件的审核策略。 | ||
Special Logon |
控制特殊登录事件的审核策略。 | ||
Logoff |
控制用户注销事件的审核策略。 | ||
Other Logon/Logoff |
控制其他登录/注销事件的审核策略。 | ||
| 对象访问 | File System |
控制对文件系统的访问审核策略。 | |
Registry |
控制对注册表的访问审核策略。 | ||
| 权限变更 | User/Group |
控制用户或组权限更改的审核策略。 | |
Audit Policy Change |
审核审核策略更改的事件。 | ||
| 权限分配 | Logon/Logoff |
Successful |
配置用户登录成功的审核策略。 |
Failed |
配置用户登录失败的审核策略。 | ||
Special Logon |
Successful |
配置特殊登录成功的审核策略。 | |
Failed |
配置特殊登录失败的审核策略。 | ||
| 系统事件 | System |
控制系统级事件(如系统启动、关机等)的审核策略。 | |
| 账户管理 | Account Management |
控制账户的创建、删除、密码更改等管理事件的审核策略。 | |
| 目录服务 | Directory Service Access |
控制对目录服务的访问审核策略。 | |
| 策略变更 | Policy Change |
配置系统策略更改的审核策略。 | |
| 特权使用 | Privilege Use |
控制特权操作使用(如管理员权限)的审核策略。 | |
| 账户登录 | Account Logon |
Success |
审核帐户登录成功事件。 |
Failure |
审核帐户登录失败事件。 | ||
| 进程审计 | Process Tracking |
控制进程创建、结束等与进程相关的审核事件。 | |
| 任务调度 | Task Scheduling |
控制任务调度器操作的审核事件。 | |
| 目录访问 | Directory Service Changes |
配置对目录服务数据更改的审核策略。 |
参数详细说明
1. 查询设置
/get category: 获取指定类别(如登录、系统、帐户管理等)的审核策略。/get subcategory: 获取指定子类别(如帐户登录、文件访问等)的审核策略。/get /r: 递归获取所有审核类别的设置,显示所有子类别的详细审核信息。
2. 配置设置
/set category: 配置某个类别的审核策略。/set subcategory: 配置某个子类别的审核策略。/set /r: 递归设置所有类别的审核策略。
3. 显示当前策略
/display: 显示当前所有的审核策略设置,包括所有的类别和子类别。
4. 导出与导入配置
/export filename: 将当前的审核策略导出到指定的文件。/import filename: 从指定的文件导入审核策略设置。
5. 清除设置
/clear: 清除所有的审核策略设置,恢复为默认设置。
6. 审核类别
Logon/Logoff: 控制登录、注销事件的审核策略。Account Logon: 控制帐户登录相关事件的审核策略。Special Logon: 控制特殊登录(如管理员)事件的审核策略。Logoff: 控制注销事件的审核策略。Other Logon/Logoff: 控制其他登录/注销事件的审核策略。
7. 对象访问
File System: 控制文件系统的访问事件审核。Registry: 控制注册表访问事件审核。
8. 权限变更
User/Group: 审核用户和组的权限更改事件。Audit Policy Change: 审核审核策略更改事件。
9. 权限分配
Logon/Logoff Success: 配置用户登录成功的审核策略。Logon/Logoff Failure: 配置用户登录失败的审核策略。Special Logon Success: 配置特殊登录成功的审核策略。Special Logon Failure: 配置特殊登录失败的审核策略。
10. 系统事件
System: 审核系统事件,如启动、关机等。
11. 账户管理
Account Management: 审核帐户管理事件,如创建、删除帐户等。
12. 目录服务
Directory Service Access: 审核对目录服务的访问。
13. 策略变更
Policy Change: 审核系统策略变更事件。
14. 特权使用
Privilege Use: 审核特权操作使用事件。
15. 账户登录
Account Logon Success: 审核帐户登录成功事件。Account Logon Failure: 审核帐户登录失败事件。
16. 进程追踪
Process Tracking: 审核进程创建、终止等与进程相关的事件。
17. 任务调度
Task Scheduling: 审核任务调度器相关事件。
18. 目录更改
Directory Service Changes: 审核目录服务的数据更改。
通过这张表格,可以帮助您了解 auditpol 命令的常用选项和参数,以便更有效地管理和配置审核策略。
auditpol 的全称是 Audit Policy。它是 Windows 中的一个命令行工具,允许管理员管理和配置 Windows 系统上的安全审计策略。该工具使您能够指定应该审计哪些事件,例如登录尝试、对象访问或系统配置更改等。
auditpol 的主要功能:
- 查看和配置特定类别及子类别的审计策略。
- 启用或禁用对特定类型事件的审计(例如成功或失败的登录、对象访问等)。
- 将审计策略重置为默认设置。
auditpol 是 Windows 操作系统中的一个命令行工具,用于管理和配置审核策略(Audit Policy)。审核策略可以帮助系统管理员监控和记录操作系统和应用程序中的安全事件,以便后续进行分析、调查或合规性审查。
1. auditpol 命令是什么?
auditpol 是 Windows 内置的命令行工具,专门用于配置和查看审核策略。这些审核策略控制操作系统记录哪些安全相关的事件(如登录、账户管理、对象访问等),并通过安全日志生成相应的审计记录。
通过使用 auditpol 命令,管理员可以启用、禁用、查看或修改各种审核策略。这个工具可以帮助在 Windows 系统上实施强有力的安全监控,确保对潜在的安全事件和操作进行追踪。
2. auditpol 命令的常见用法
查看当前的审核策略
auditpol /get /category:*这个命令会列出当前所有审核类别(如帐户登录、对象访问、策略改动等)及其具体的配置。category:* 表示查看所有类别的设置。
修改审核策略
auditpol /set /category:"Logon/Logoff" /success:enable /failure:disable这个命令会将“登录/注销”类别的审核设置为:
- 成功的登录事件会被审核(
/success:enable)。 - 失败的登录事件不会被审核(
/failure:disable)。
查看特定类别的审核设置
auditpol /get /category:"Logon/Logoff"此命令将只显示“登录/注销”类别的审核设置。
重置审核策略为默认
auditpol /reset此命令将把所有审核策略恢复为默认设置。
3. 为什么使用 auditpol 命令?
-
增强安全性:通过启用详细的审核策略,可以及时发现不正常的系统行为和潜在的安全风险(如未经授权的访问、恶意活动等)。
-
合规性要求:许多组织需要根据法律或行业标准(如 PCI-DSS、HIPAA 等)记录和监控特定的操作。
auditpol可以帮助配置系统,确保合规性要求得到满足。 -
调查和审计:如果系统发生安全事件(如入侵或数据泄露),通过查看审核日志,管理员可以追溯事件发生的具体过程,发现问题的根源。
-
性能优化:不需要监控所有类别的所有事件时,可以通过
auditpol精确配置所需的审核设置,避免生成过多无关的日志,降低系统负载。
4. 如何使用 auditpol 进行系统审核配置
auditpol 提供了灵活的配置选项来管理不同类别的审核。可以使用以下命令来查看和修改系统的审核配置:
主要的命令选项:
/get: 查看当前审核设置。/set: 设置或修改审核策略。/reset: 重置为默认设置。/category: 指定要操作的审核类别。/success: 设置是否审核成功的事件。/failure: 设置是否审核失败的事件。
常见审核类别:
- Logon/Logoff:记录用户登录和注销事件。
- Account Logon:记录用户帐户的登录事件。
- Account Management:记录帐户创建、删除、修改等管理操作。
- Directory Service Access:记录对目录服务的访问。
- Object Access:记录对系统中对象(如文件、注册表项)的访问。
- Privilege Use:记录特权操作的使用情况。
- Policy Change:记录系统策略的更改。
- System:记录系统级别的事件。
设置审核策略示例
假设你需要启用“帐户登录”类别的审核,同时记录成功和失败的登录事件,可以使用如下命令:
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable这会确保所有登录事件(无论是成功还是失败)都会被记录。
5. 为什么需要 auditpol?
-
增强的可见性:通过启用详细的审核,系统管理员可以清楚地了解系统中发生的所有关键事件,如谁何时登录、谁修改了文件、谁进行了策略更改等。
-
及时响应安全威胁:通过查看和分析审核日志,管理员可以更快速地识别系统中的异常行为(如非法登录、权限滥用等),并及时响应。
-
法律和合规要求:许多行业(如金融、医疗)有强制要求必须实施审核和监控。
auditpol可以帮助组织在 Windows 系统中满足这些要求。 -
追踪和溯源:在发生安全事件时,
auditpol提供的详细日志可以帮助追踪攻击者的行为,帮助取证和恢复。
auditpol 是一个强大的工具,允许管理员控制和查看 Windows 系统的审核策略。通过合理配置审核策略,可以帮助管理员有效地进行安全审计、事件响应和合规管理。
auditpol 是 Windows 操作系统中的一个命令行工具,它的起源与 Windows 安全审计和日志记录功能的发展紧密相关。为了更好地理解 auditpol 的起源,我们可以追溯到 Windows 操作系统的安全模型和审计机制的演变。
1. 安全审计的背景
安全审计是操作系统安全性的重要组成部分,它用于记录系统中的关键安全事件,如用户登录、文件访问、权限更改等。早期的 Windows 操作系统(如 Windows NT)就已经包含了基础的安全审计功能,但这些功能通常是通过图形界面(GUI)进行配置的。
随着企业和政府对信息安全和合规性的要求不断增加,Windows 系统开始加强对安全审计的支持,尤其是在多个用户和复杂网络环境中。为了更高效地管理这些审计设置,Windows 引入了 auditpol 工具。
2. auditpol 的引入
auditpol 工具首次出现在 Windows XP 和 Windows Server 2003 中,作为一种命令行方式来管理和配置审计策略。在此之前,审计设置通常通过 Local Security Policy(本地安全策略)或 Group Policy(组策略)来配置,但这些方法通常需要使用图形界面操作,缺乏灵活性和自动化能力。
为了提高效率和精确度,Windows 引入了 auditpol 这个命令行工具,允许系统管理员通过命令行快速查看、修改、启用或禁用特定类别的安全审计设置,从而更好地适应复杂环境中的需求。
3. auditpol 的作用与功能演变
随着 Windows 操作系统版本的不断更新,auditpol 工具也得到了持续的增强和扩展。例如,在 Windows Vista 和 Windows Server 2008 及后续版本中,Windows 增加了更多的审计类别和子类别,auditpol 也提供了对这些新类别的支持。
auditpol 的功能不仅限于查看和修改审计设置,它还支持将审计策略重置为默认状态,或者导出当前的审计策略,便于备份和恢复。通过这些功能,系统管理员能够更加高效地管理 Windows 系统的审计设置,并确保符合组织的安全合规要求。
4. 与安全性和合规性的关系
auditpol 的发展与 Windows 系统在安全性和合规性方面的不断加强密切相关。在许多行业中(例如金融、医疗、政府等),数据保护和安全事件的审计被视为合规性要求。通过使用 auditpol,管理员可以确保按照法规和政策对敏感事件进行全面的审计,从而满足合规要求(如 PCI-DSS、HIPAA、SOX 等)。
auditpol 作为 Windows 系统中的一项重要工具,起源于对安全审计管理需求的回应。它的出现使得系统管理员能够更灵活、精确地配置和管理 Windows 系统的审计策略,满足日益增长的安全性和合规性要求。随着 Windows 版本的不断更新,auditpol 工具的功能得到了增强,成为了管理 Windows 安全审计的重要工具之一。
auditpol 是 Windows 操作系统中的一个命令行工具,用于配置和管理系统的审计策略。它的主要作用是帮助管理员查看、启用、禁用或修改安全审计策略,确保系统的安全性和合规性。auditpol 伴随 Windows 操作系统的不断发展,逐步增加了更多功能和灵活性,下面是 auditpol 的发展阶段概述。
1. 早期的安全审计(Windows NT 4.0 和 Windows 2000)
在 Windows NT 4.0 和 Windows 2000 中,Windows 系统已经引入了基本的安全审计功能,用于记录和跟踪关键的安全事件,如用户登录、对象访问、权限更改等。然而,这些审计设置大多是通过图形用户界面(GUI)来配置和管理的,缺乏命令行管理的灵活性。
当时,审计策略的配置通过 Local Security Policy(本地安全策略)和 Group Policy(组策略)来进行,审计配置更多依赖于手动操作,且无法轻松地进行批量管理或自动化。
2. 引入 auditpol(Windows XP 和 Windows Server 2003)
在 Windows XP 和 Windows Server 2003 中,auditpol 命令行工具首次引入,标志着 Windows 系统在审计策略管理方面的一大进步。
- 命令行工具引入:
auditpol允许管理员通过命令行来查看、修改和管理审计策略,提供比图形界面更为灵活和精确的配置方式。 - 命令格式:基本的命令格式包括
auditpol /get(查看当前审计策略)、auditpol /set(修改审计策略)等。管理员能够通过这些命令来管理特定的审计策略, 如 Logon/Logoff Events、Object Access、Privilege Use 等。 - 策略增强:Windows XP 和 Windows Server 2003 提供了对用户和计算机登录活动、对象访问等审计的控制,但尚未像后来的版本那样细化和增强审计策略的分类。
3. 审计策略的扩展(Windows Vista 和 Windows Server 2008)
Windows Vista 和 Windows Server 2008 对 Windows 安全模型进行了大幅度改进,这也直接影响到了审计策略和 auditpol 的功能。
- 细化的审计类别:在这个阶段,Windows 引入了更加细化和分层的审计类别。例如,审计策略被拆分为多个更具体的子类别,使得管理员可以针对特定的事件类型配置审计。
auditpol也增加了对这些新类别的支持。 - 改进的命令:Windows Vista 和 Windows Server 2008 引入了更强大的命令选项,允许更细粒度的审计配置,甚至支持导入和导出审计策略配置。
4. 增强的安全性和合规性(Windows 7 和 Windows Server 2008 R2)
Windows 7 和 Windows Server 2008 R2 继续强化安全审计功能,以应对日益复杂的合规要求和安全威胁。
- 更细的审计选项:管理员可以更精确地配置审计策略,例如选择记录特定类型的对象访问或特定用户的行为。
- 组策略增强:
auditpol工具在这一阶段与 Group Policy 密切集成,允许管理员通过组策略来集中管理多台计算机的审计设置,适应企业环境中对审计管理的高要求。 - 新审计类别:Windows 7 引入了更为细致的审计类别,包括 Logon/Logoff、Account Management、Object Access 等,使得管理员能够配置更加定制化的审计策略。
5. Windows 10 和 Windows Server 2016 及后续版本
在 Windows 10 和 Windows Server 2016 及之后的版本中,auditpol 工具的功能得到了进一步的强化和扩展。
- 增强的事件筛选:新的审计类别和筛选功能使得管理员能够更加精细地筛选和记录系统中的安全事件,满足更加严格的安全需求和合规性要求。
- 高级安全事件审计:Windows 10 引入了更为复杂的审计功能,例如 Windows Defender 集成的审计功能,
auditpol允许管理员配置与 Windows Defender 和 Windows 安全中心相关的安全事件。 - 审计事件的中心化管理:随着 Windows 引入更强大的日志聚合和事件管理工具,
auditpol也支持将审计日志集中化管理,便于在大规模企业环境中进行审计策略的统一管理。
6. Windows Server 2019 和 Windows 10 20H2 及更高版本的持续发展
在 Windows Server 2019 和 Windows 10 20H2 及之后的版本中,auditpol 继续被用于更强大的审计配置和日志管理功能,尤其是在合规性和安全性方面。以下是一些关键特点:
- 合规性要求:随着 GDPR(通用数据保护条例)和其他全球性合规性要求的实施,
auditpol和相关审计功能帮助管理员确保系统审计符合规定要求。 - PowerShell 集成:
auditpol工具与 PowerShell 密切集成,使得管理员可以通过脚本自动化管理审计策略,从而提高了管理效率和灵活性。 - 更细致的事件审计:在更高版本的 Windows 中,审计策略进一步细化,可以记录更广泛的安全事件,并为系统管理员提供更多定制化的选项。
auditpol 的发展是与 Windows 操作系统在安全性、合规性和管理效率方面不断改进的进程紧密相关的。从早期的基础审计设置到现在的复杂策略管理,auditpol 不仅提供了更细粒度的审计控制,还帮助管理员简化了审计策略的配置、监控和管理。随着 Windows 操作系统版本的不断升级,auditpol 的功能也在不断增强,成为了企业和组织确保信息安全与合规的重要工具之一。
AuditPol 命令的功能分类和说明表:
| 命令 | 描述 |
|---|---|
/get |
显示当前的审核策略。 |
/set |
设置审核策略,允许用户配置指定类别的审核设置。 |
/list |
显示可以选择的审核策略元素。 |
/backup |
将当前的审核策略保存到指定的文件中。 |
/restore |
从指定的文件还原审核策略。 |
/clear |
清除当前的审核策略。 |
/remove |
删除特定用户帐户的每用户审核策略。 |
/resourceSACL |
配置全局资源访问控制列表(SACL)。 |
/? |
获取命令的帮助信息(根据命令上下文提供详细的帮助说明)。 |
示例:
-
查看当前审核策略
bashCopy CodeAuditPol /get -
设置审核策略
bashCopy CodeAuditPol /set /category:"Logon/Logoff" /success:enable /failure:disable -
列出可选择的审核策略元素
bashCopy CodeAuditPol /list -
保存当前审核策略
bashCopy CodeAuditPol /backup /file:"C:\auditpolicy_backup.txt" -
还原审核策略
bashCopy CodeAuditPol /restore /file:"C:\auditpolicy_backup.txt" -
清除所有审核策略
bashCopy CodeAuditPol /clear -
删除用户帐户的每用户审核策略
bashCopy CodeAuditPol /remove /user:"username" -
配置全局资源 SACL
bashCopy CodeAuditPol /resourceSACL
使用 AuditPol <command> /? 获取更多帮助
对于每个具体命令,可以通过 /? 参数获取详细的帮助说明。例如,查看 set 命令的详细用法:
AuditPol /set /?auditpol 工具配置的主要审计类别及其子类别的详细表格。每个类别和子类别都代表 Windows 系统中与安全性、用户行为和事件相关的不同审计功能。这些审计功能帮助管理员有效地监控和记录系统活动,以加强安全管理。
| 命令 | auditpol /list /subcategory:* | 备注:以实际查询为基准 |
|---|---|---|
| 审计策略类别 | 子类别 | 描述 |
| 系统 | 安全状态更改 | 记录与系统安全设置和配置变化相关的事件。 |
| 安全系统扩展 | 监控操作系统在安全系统层面上的扩展事件。 | |
| 系统完整性 | 记录系统文件或设置的完整性检查结果。 | |
| IPsec 驱动程序 | 记录 IPsec 驱动程序相关的事件,如加密、解密操作等。 | |
| 其他系统事件 | 记录与操作系统其他系统层面相关的事件。 | |
| 登录/注销 | 登录 | 记录用户登录计算机或域的事件。 |
| 注销 | 记录用户注销计算机或域的事件。 | |
| 帐户锁定 | 记录账户被锁定的事件。 | |
| IPsec 主模式 | 记录 IPsec 协议中的主模式事件。 | |
| IPsec 快速模式 | 记录 IPsec 协议中的快速模式事件。 | |
| IPsec 扩展模式 | 记录 IPsec 协议中的扩展模式事件。 | |
| 特殊登录 | 记录管理员或特殊权限用户的登录事件。 | |
| 其他登录/注销事件 | 记录与登录和注销相关的其他事件。 | |
| 网络策略服务器 | 记录与网络策略服务器相关的登录、认证等事件。 | |
| 用户/设备声明 | 记录与用户或设备声明相关的事件。 | |
| 组成员身份 | 记录与用户或设备在组中的身份变化相关的事件。 | |
| 对象访问 | 文件系统 | 记录与文件、文件夹的读取、修改、删除等操作相关的事件。 |
| 注册表 | 记录与注册表键和数据的访问和修改相关的事件。 | |
| 内核对象 | 记录与内核对象(如内核模式对象)的访问和操作相关的事件。 | |
| SAM | 记录与安全帐户管理(SAM)相关的事件,如用户密码的修改、创建等。 | |
| 证书服务 | 记录与证书服务(如证书颁发和吊销)相关的事件。 | |
| 已生成应用程序 | 记录与已生成应用程序(如通过应用程序生成的对象)的访问相关的事件。 | |
| 句柄操作 | 记录与操作系统句柄的使用和修改相关的事件。 | |
| 文件共享 | 记录与文件共享相关的访问和操作事件。 | |
| 筛选平台数据包丢弃 | 记录与网络数据包丢弃相关的筛选平台事件。 | |
| 筛选平台连接 | 记录与网络连接事件相关的筛选平台事件。 | |
| 其他对象访问事件 | 记录与对象访问的其他相关事件。 | |
| 详细的文件共享 | 记录与文件共享的详细操作,包括文件共享的读取、修改等。 | |
| 可移动存储 | 记录与可移动存储设备(如 USB 驱动器)的访问和操作。 | |
| 中心策略暂存 | 记录与策略暂存、缓存相关的事件。 | |
| 特权使用 | 敏感权限使用 | 记录与敏感系统权限(如管理员权限)使用相关的事件。 |
| 非敏感权限使用 | 记录与非敏感权限(如普通用户权限)使用相关的事件。 | |
| 其他权限使用事件 | 记录与其他权限使用的相关事件。 | |
| 详细追踪 | 进程创建 | 记录与新进程启动的相关事件。 |
| 进程终止 | 记录与进程终止或关闭的相关事件。 | |
| DPAPI 活动 | 记录与数据保护 API(DPAPI)相关的活动事件。 | |
| RPC 事件 | 记录与远程过程调用(RPC)相关的事件。 | |
| “即插即用”事件 | 记录与设备“即插即用”事件(如硬件连接、断开等)相关的事件。 | |
| 令牌权限已调整事件 | 记录与进程令牌权限调整的相关事件。 | |
| 策略改动 | 审核策略更改 | 记录与审计策略设置变更相关的事件。 |
| 身份验证策略更改 | 记录与身份验证策略变更相关的事件。 | |
| 授权策略更改 | 记录与访问控制策略变更相关的事件。 | |
| MPSSVC 规则级别策略更改 | 记录与 Windows 防火墙(MPSSVC)规则的更改事件。 | |
| 筛选平台策略更改 | 记录与筛选平台相关的策略更改事件。 | |
| 其他策略更改事件 | 记录与其他安全和系统策略更改相关的事件。 | |
| 帐户管理 | 用户帐户管理 | 记录与用户账户创建、修改、删除等管理事件。 |
| 计算机帐户管理 | 记录与计算机账户(如域计算机账户)管理相关的事件。 | |
| 安全组管理 | 记录与安全组的创建、修改、删除相关的事件。 | |
| 分发组管理 | 记录与分发组的创建、修改、删除相关的事件。 | |
| 应用程序组管理 | 记录与应用程序组(如特定应用程序的用户组)相关的管理事件。 | |
| 其他帐户管理事件 | 记录与账户管理的其他相关事件。 | |
| DS 访问 | 目录服务访问 | 记录与目录服务(如 Active Directory)访问相关的事件。 |
| 目录服务更改 | 记录与目录服务(如 AD)的更改事件。 | |
| 目录服务复制 | 记录与 Active Directory 目录服务复制相关的事件。 | |
| 详细的目录服务复制 | 记录与目录服务复制的详细事件。 | |
| 帐户登录 | 凭据验证 | 记录与凭据验证(如密码验证)相关的事件。 |
| Kerberos 服务票证操作 | 记录与 Kerberos 认证中服务票证的操作相关的事件。 | |
| 其他帐户登录事件 | 记录与账户登录的其他相关事件。 | |
| Kerberos 身份验证服务 | 记录与 Kerberos 身份验证服务相关的事件。 |
说明:
auditpol命令可以用于配置这些审计策略。管理员可以通过命令行工具启用、禁用或查看相关的审计设置。- 各个子类别通常会产生安全事件,这些事件被记录到 Windows 的 安全日志 中,以便后续分析和追踪。
- 审计策略配置有助于确保对重要操作进行监控,防止未授权的访问或错误配置。
auditpol /get /category:* 命令结果的详细分类和设置表格:
| 类别/子类别 | 设置 |
|---|---|
| 系统 | |
| 安全系统扩展 | 无审核 |
| 系统完整性 | 成功和失败 |
| IPsec 驱动程序 | 无审核 |
| 其他系统事件 | 成功和失败 |
| 安全状态更改 | 成功 |
| 登录/注销 | |
| 登录 | 成功和失败 |
| 注销 | 成功 |
| 帐户锁定 | 成功 |
| IPsec 主模式 | 无审核 |
| IPsec 快速模式 | 无审核 |
| IPsec 扩展模式 | 无审核 |
| 特殊登录 | 成功 |
| 其他登录/注销事件 | 无审核 |
| 网络策略服务器 | 成功和失败 |
| 用户/设备声明 | 无审核 |
| 组成员身份 | 无审核 |
| 对象访问 | |
| 文件系统 | 无审核 |
| 注册表 | 无审核 |
| 内核对象 | 无审核 |
| SAM | 无审核 |
| 证书服务 | 无审核 |
| 已生成应用程序 | 无审核 |
| 句柄操作 | 无审核 |
| 文件共享 | 无审核 |
| 筛选平台数据包丢弃 | 无审核 |
| 筛选平台连接 | 无审核 |
| 其他对象访问事件 | 无审核 |
| 详细的文件共享 | 无审核 |
| 可移动存储 | 无审核 |
| 中心策略暂存 | 无审核 |
| 特权使用 | |
| 非敏感权限使用 | 无审核 |
| 其他权限使用事件 | 无审核 |
| 敏感权限使用 | 无审核 |
| 详细追踪 | |
| 进程创建 | 无审核 |
| 进程终止 | 无审核 |
| DPAPI 活动 | 无审核 |
| RPC 事件 | 无审核 |
| “即插即用”事件 | 无审核 |
| 令牌权限已调整事件 | 无审核 |
| 策略改动 | |
| 审核策略更改 | 成功 |
| 身份验证策略更改 | 成功 |
| 授权策略更改 | 无审核 |
| MPSSVC 规则级别策略更改 | 无审核 |
| 筛选平台策略更改 | 无审核 |
| 其他策略更改事件 | 无审核 |
| 帐户管理 | |
| 计算机帐户管理 | 成功 |
| 安全组管理 | 成功 |
| 分发组管理 | 无审核 |
| 应用程序组管理 | 无审核 |
| 其他帐户管理事件 | 无审核 |
| 用户帐户管理 | 成功 |
| DS 访问 | |
| 目录服务访问 | 成功 |
| 目录服务更改 | 无审核 |
| 目录服务复制 | 无审核 |
| 详细的目录服务复制 | 无审核 |
| 帐户登录 | |
| Kerberos 服务票证操作 | 成功 |
| 其他帐户登录事件 | 无审核 |
| Kerberos 身份验证服务 | 成功 |
| 凭据验证 | 成功 |
这张表列出了不同审核类别的详细信息,以及每个子类别的审核设置情况(如“成功”,“失败”,“无审核”等)。
基于 auditpol /get /category:* 命令返回的系统审核策略的表格化展示:
| 类别 | 子类别 | 设置 |
|---|---|---|
| 系统 | 安全系统扩展 | 无审核 |
| 系统完整性 | 成功和失败 | |
| IPsec 驱动程序 | 无审核 | |
| 其他系统事件 | 成功和失败 | |
| 安全状态更改 | 成功 | |
| 登录/注销 | 登录 | 成功和失败 |
| 注销 | 成功和失败 | |
| 帐户锁定 | 成功和失败 | |
| IPsec 主模式 | 无审核 | |
| IPsec 快速模式 | 无审核 | |
| IPsec 扩展模式 | 无审核 | |
| 特殊登录 | 成功 | |
| 其他登录/注销事件 | 无审核 | |
| 网络策略服务器 | 成功和失败 | |
| 用户/设备声明 | 无审核 | |
| 组成员身份 | 无审核 | |
| 对象访问 | 文件系统 | 成功和失败 |
| 注册表 | 无审核 | |
| 内核对象 | 无审核 | |
| SAM | 无审核 | |
| 证书服务 | 无审核 | |
| 已生成应用程序 | 无审核 | |
| 句柄操作 | 无审核 | |
| 文件共享 | 无审核 | |
| 筛选平台数据包丢弃 | 无审核 | |
| 筛选平台连接 | 无审核 | |
| 其他对象访问事件 | 无审核 | |
| 详细的文件共享 | 无审核 | |
| 可移动存储 | 无审核 | |
| 中心策略暂存 | 无审核 | |
| 特权使用 | 非敏感权限使用 | 无审核 |
| 其他权限使用事件 | 无审核 | |
| 敏感权限使用 | 无审核 | |
| 详细追踪 | 进程创建 | 无审核 |
| 进程终止 | 无审核 | |
| DPAPI 活动 | 无审核 | |
| RPC 事件 | 无审核 | |
| “即插即用”事件 | 无审核 | |
| 令牌权限已调整事件 | 无审核 | |
| 策略改动 | 审核策略更改 | 成功 |
| 身份验证策略更改 | 成功 | |
| 授权策略更改 | 无审核 | |
| MPSSVC 规则级别策略更改 | 无审核 | |
| 筛选平台策略更改 | 无审核 | |
| 其他策略更改事件 | 无审核 | |
| 帐户管理 | 计算机帐户管理 | 成功 |
| 安全组管理 | 成功 | |
| 分发组管理 | 无审核 | |
| 应用程序组管理 | 无审核 | |
| 其他帐户管理事件 | 无审核 | |
| 用户帐户管理 | 成功 | |
| DS 访问 | 目录服务访问 | 成功 |
| 目录服务更改 | 无审核 | |
| 目录服务复制 | 无审核 | |
| 详细的目录服务复制 | 无审核 | |
| 帐户登录 | Kerberos 服务票证操作 | 成功 |
| 其他帐户登录事件 | 无审核 | |
| Kerberos 身份验证服务 | 成功 | |
| 凭据验证 | 成功 |
该表格展示了Windows的各类审计策略设置,其中“成功和失败”代表在事件成功与失败时都会触发审计,“无审核”表示没有审计记录
浙公网安备 33010602011771号