稽核事件类别
成功
失败稽核帐户登入事件
这会稽核此电脑用来验证使用者的登入事件。亦即,在DC上会稽核所有网域的登入事件,而在网域成员上则仅会稽核使用本机帐户的事件。
稽核帐户管理
这会稽核任何涉及帐户管理的事件,例如:帐户的建立、帐户的锁定、帐户的删除,等等。
稽核目录服务存取
这会啟用存取ActiveDirectory物件的稽核。此设定本身并不会產生任何事件。唯有当物件有定义SACL时,才会稽核存取事件。您应该啟用成功与失败的稽核,才能让SACL生效。
稽核登入事件
这会稽核套用此原则之系统的登入事件,无论帐户的所在位置。亦即,在网域成员上啟用成功稽核功能之后,就会在每一次有使用者登入系统时產生一个事件。如果用来登入的帐户是本机帐户,而且[稽核帐户登入事件]设定有啟用,则登入时会產生两个事件。
稽核物件存取
这会啟用存取所有可稽核物件(例如:档案系统与登录物件,除了目录服务物件以外)的稽核功能。此设定本身并不会导致任何事件的稽核。而是仅会啟用稽核功能,使有定义SACL的物件可以被稽核。所以您应该针对此设定啟用成功与失败的稽核。
稽核原则变更
此设定会定义是否要稽核使用者权限指派原则、稽核原则或信任原则的变更。您仅需要针对此进行成功的稽核,因為针对此类别的存取进行失败的稽核毫无意义。
稽核特殊权限使用
此设定会决定是否每当有人使用权限时,就產生稽核事件。某些权限,例如:略过周游检查(BypassTraverseChecking)以及侦错程式(DebugPrograms),并不会因此设定而被稽核(该些权限的稽核,可以透过FullPrivilegeAuditing登录值的设定来开啟)。啟用权限稽核会產生大量的事件,所以应该避免开啟此功能。
稽核程序追踪
此设定会啟用特定处理程序事件的稽核,例如程式的啟动与结束、控制码的复製、间接物件的存取,等等。啟用此稽核功能会產生「非常」大量的事件,导致事件日誌在很短的时间内就爆满。基於此理由,您不应该广泛地啟用此稽核功能,除了用於除错以外。程序的追踪也适用於攻击事件的分析。例如,缓衝区溢位的漏洞通常会被用来啟动命令壳层,如果开啟程序追踪,就会记录如此的事件。但是,如果您开啟程序追踪,就必须採用严格的记录管理制度。
稽核系统事件
稽核各种事件,例如系统关机、开机、或会影响系统和(或)安全性记录的事件(例如记录的清除)。
注:anti-virus software | Ipsec | bypass (cncfan.com)
