高级安全审核策略循序渐进指南.doc

高级安全审核策略循序渐进指南更新时间: 2009年9月应用到: Windows Server 2008, Windows Server 2008 R2关于本指南Windows Server 2008 R2 和 Windows 7 中的安全审核增强可以通过跟踪如下精确定义的活动来帮助您的组织审核是否符合与重要业务相关的规则以及与安全相关的规则： 组管理员已经修改服务器上包含财务信息的设置或数据。 已定义组中的员工已经访问重要文件。 作为可验证的防护措施，已将正确的系统访问控制列表 (SACL) 应用于计算机上每个文件和文件夹或注册表项或者文件共享，以防止未经检测的访问。在 Windows 7 和 Windows Server 2008 R2 中，对于可以跟踪其成功和失败的审核设置数量已经增加到 53。以前，在“计算机配置策略Windows 设置安全设置本地策略审核策略”下有九个基本审核设置。使用这 53 个新设置，可以只选择您希望监视的行为，排除您很少关注或不关注的行为审核结果或者创建过多日志条目数量的行为。此外，由于可以使用域组策略应用 Windows 7 和 Windows Server 2008 R2 安全审核策略，因此修改、测试审核策略设置以及将其部署到选定用户和组相对比较简单。 本循序渐进指南介绍在测试环境中设置高级 Windows 7 和 Windows Server 2008 R2 安全审核策略基础结构的过程。还指导您完成配置某些具有代表性的高级安全审核策略设置的过程。完成这些初始任务之后，强烈鼓励您使用本指南中的过程来选择、配置、应用以及评估其他安全审核策略设置。 在此过程中，您将创建一个 Active Directory 域，在成员服务器上安装 Windows Server 2008 R2，在客户端计算机上安装 Windows 7，并且配置新的高级安全审核策略设置，包括全局对象访问审核。此外，本文档将使用很多新审核策略设置带您完成可用的新“访问原因”数据的检查。完成之后，可以使用该测试环境应用不同的 Windows Server 2008 R2 高级安全审核策略设置集，并且评估它们如何用于提高组织的安全性。当完成本指南的步骤后，您将能够： 创建并将高级审核策略设置应用于组织中已定义的计算机组。 验证是否已将审核策略设置应用于组织中已定义的客户端计算机组。 使用新的“访问原因”安全事件数据标识用来确定是否触发特殊安全事件的权限。 配置、应用和分析不同审核策略设置的影响以标识对组织非常重要的设置。 在 Windows 7 和 Windows Server 2008 R2 中管理每用户审核。在测试环境中部署高级审核策略设置完成本循序渐进指南后，您将有一个工作的高级安全审核基础结构。然后您可以通过登录 CONTOSO-CLNT 以及确保对计算机应用了正确的审核策略来测试和了解有关其他高级安全审核策略设置的信息。重要事项 建议您首先在测试实验室环境中使用本指南中的过程。循序渐进指南并不意味着用于部署没有其他部署规划和文档的 Windows 功能。 本指南中描述的测试环境包括三台连接到专用网络并且使用以下操作系统、应用程序和服务的计算机。计算机名称 操作系统 应用程序和服务 CONTOSO-DCWindows Server 2008 R2 备注 也可以在域控制器上使用 Windows Server 2008 或带有 Service Pack 2 (SP2) 的 Windows Server 2003。 Active Directory 域服务 (AD DS) 和域名系统 (DNS)CONTOSO-SRVWindows Server 2008 R2 组策略管理控制台 (GPMC)CONTOSO-CLNTWindows 7 备注 也可以将 Windows Server 2008 R2 用作客户端计算机。 备注 有关操作系统兼容性和要求的详细信息，请参阅Which Versions of Windows Support Advanced Audit Policy Configuration?。 这些计算机构成了专用 Intranet，且通过常用集线器或第 2 层交换机进行连接。如果需要，可以在虚拟机环境中模拟此配置。此循序渐进在整个测试实验室配置中使用专用地址。为 Intranet 使用专用网络 ID /24。名为 的域的域控制器名为 CONTOSO-DC。下图显示了测试环境的配置。用于在测试环境中部署高级审核策略的步骤完成以下步骤以在测试环境中部署高级审核策略设置。步骤 1：设置基础结构 步骤 2：创建和验证高级审核策略 步骤 3：创建和验证提供对象访问原因的审核策略 步骤 4：创建和验证全局对象访问策略 步骤 5：创建和验证其他高级审核策略 步骤 1：设置基础结构若要在 CONTOSO 域中准备测试环境，必须完成以下任务： 配置域控制器 (CONTOSO-DC)。 配置成员服务器 (CONTOSO-SRV)。 配置客户端计算机 (CONTOSO-CLNT)。设置完成本指南中步骤所需的适当计算机名称、操作系统和网络设置时，请参考下表。重要事项 使用静态 IP 地址配置计算机之前，建议您首先完成需要 Internet 连接的两个重要任务：完成 Windows 产品激活以及使用 Windows Update 获得并安装任何可用的重要安全更新。 计算机名称 操作系统要求 IP 设置 DNS 设置 CONTOSO-DCWindows Server 2008 R2、Windows Server 2008 或带有 Service Pack 2 (SP2) 的 Windows Server 2003IP 地址：子网掩码：由 DNS 服务器角色配置CONTOSO-SRVWindows Server 2008 R2 IP 地址：子网掩码：首选：CONTOSO-CLNTWindows 7 或者Windows Server 2008 R2IP 地址：子网掩码：首选：配置域控制器 (CONTOSO-DC)根据您的环境，可以评估 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 域中的高级审核策略设置。对于本指南，我们使用 Windows Server 2008 R2 域。备注 有关操作系统要求的详细信息，请参阅 Windows 安全审核中的新增功能。 若要配置运行 Windows Server 2008 R2 的域控制器 CONTOSO-DC，您必须： 安装 Windows Server 2008 R2。 配置 TCP/IP 属性。 安装 AD DS。 创建一个金融组织单位 (OU)。首先，在独立服务器上安装 Windows Server 2008 R2。安装 Windows Server 2008 R2 的步骤1. 使用 Windows Server 2008 R2 产品 CD 启动计算机。2. 提示输入计算机名称时，键入 CONTOSO-DC。3. 按照屏幕上显示的其他说明完成安装。下一步，配置 TCP/IP 属性，使 CONTOSO-DC 具有 IPv4 静态 IP 地址 。配置 TCP/IP 属性的步骤1. 使用 CONTOSO-DCAdministrator 帐户登录到 CONTOSO-DC。2. 依次单击开始、“控制面板”、“网络和 Internet”、“网络和共享中心”、“更改适配器设置”，右键单击“本地连接”，然后单击“属性”。3. 在“网络”选项卡上，单击“Internet 协议版本 4 (TCP/IPv4)”，然后单击“属性”。4. 单击“使用下面的 IP 地址”。在“IP 地址”框中，键入 。在“子网掩码”框中，键入 。在“默认网关”框中，键入 。5. 在“首选 DNS 服务器”框中，键入 ，然后单击“确定”。6. 在“网络”选项卡上，清除“Internet 协议版本 6 (TCP/IPv6)”复选框，然后单击“关闭”。下一步，将计算机配置为运行 Windows Server 2008 R2 的域控制器。将 CONTOSO-DC 配置为运行 Windows Server 2008 的域控制器的步骤1. 单击开始，然后单击“运行”。在“打开”框中，键入 dcpromo，然后单击“确定”。2. 在“欢迎使用 Active Directory 域服务安装向导”页上，单击“下一步”，然后再次单击“下一步”。3. 单击“在新林中新建域”，然后单击“下一步”。4. 在“目录林根级域的 FQDN”框中，键入 ，然后单击“下一步”。5. 在“域 NetBIOS 名称”框中保留默认值，然后单击“下一步”。6. 在“林功能级别”列表中，单击 Windows Server 2003，然后单击“下一步”。7. 在“域功能级别”列表中，单击 Windows Server 2003，然后单击“下一步”。8. 确保选中“DNS 服务器”复选框，然后单击“下一步”。9. 单击“是”，确认要为此 DNS 服务器创建委派。10. 在“数据库、日志文件和 SYSVOL 的位置”页上，单击“下一步”。11. 在“密码”和“确认密码”框中，键入一个强密码，然后单击“下一步”。12. 在“摘要”页中，单击“下一步”开始安装。13. 安装完成后，单击“完成”，然后单击“立即重新启动”。备注 完成上述步骤后，必须重新启动计算机。 在 中创建金融 OU 的步骤1. 使用 CONTOSO-DCAdministrator 帐户登录到 CONTOSO-DC。2. 依次单击开始、“控制面板”，双击“管理工具”，然后双击“Active Directory 用户和计算机”。3. 在控制台树中，右键单击 ，指向“新建”，然后单击“组织单位”。4. 键入新 OU 的名称 Finance，然后单击“确定”。配置 Windows Server 2008 R2 成员服务器 (CONTOSO-SRV)若要配置成员服务器 CONTOSO-SRV，必须执行以下操作： 安装 Windows Server 2008 R2。 配置 TCP/IP 属性。 将 CONTOSO-SRV 加入 域。 将 CONTOSO-SRV 添加到金融 OU。 安装 GPMC。首先，安装 Windows Server 2008 R2 作为独立服务器。安装 Windows Server 2008 R2 的步骤1. 使用 Windows Server 2008 R2 产品 CD 启动计算机。2. 当提示输入计算机名称时，键入 CONTOSO-SRV。3. 按照屏幕上显示的其他说明完成安装。下一步，配置 TCP/IP 属性，以便 CONTOSO-SRV 具有静态 IP 地址 。此外，还要使用 CONTOSO-DC 的 IP 地址 () 配置 DNS 服务器。配置 TCP/IP 属性的步骤1. 使用 CONTOSO-SRVAdministrator 帐户或本地 Administrators 组中的其他用户帐户登录 CONTOSO-SRV。2. 依次单击开始、“控制面板”，双击“网络和共享中心”，单击“管理网络连接”，右键单击“本地连接”，然后单击“属性”。3. 在“网络”选项卡上，单击“Internet 协议版本 4 (TCP/IPv4)”，然后单击“属性”。4. 单击“使用下面的 IP 地址”。在“IP 地址”框中，键入 。在“子网掩码”框中，键入 。在“默认网关”框中，键入 。5. 单击“使用下面的 DNS 服务器地址”。在“首选 DNS 服务器”中，键入 。6. 单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。接下来，将 CONTOSO-SRV 加入 域。将 CONTOSO-SRV 加入 域的步骤1. 单击开始，右键单击“计算机”，然后单击“属性”。2. 单击“更改设置”（位于“计算机名称、域和工作组设置”的右下方），然后单击“更改”。3. 在“计算机名/域更改”对话框中，单击“域”，然后键入 。4. 单击“更多”，在“此计算机的主 DNS 后缀”框中，键入 。5. 单击“确定”，然后再次单击“确定”。6. 当出现“计算机名/域更改”对话框提示输入管理凭据时，请提供 CONTOSOAdministrator 的凭据，然后单击“确定”。7. 当出现“计算机名/域更改”对话框欢迎您进入 域时，单击“确定”。8. 当出现“计算机名/域更改”对话框提示您必须重新启动计算机时，单击“确定”，然后单击“关闭”。9. 单击“立即重新启动”。重新启动计算机之后，将 CONTOSO-SRV 添加到金融 OU。将计算机添加到金融 OU 的步骤1. 使用 CONTOSO-DCAdministrator 帐户登录到 CONTOSO-DC。2. 依次单击开始、“控制面板”，双击“管理工具”，然后双击“Active Directory 用户和计算机”。3. 在控制台树中，右键单击 。4. 在控制台树中，右键单击“金融”OU，指向“新建”，然后单击“组”。5. 键入新组的名称 Computers，然后在“组作用域”中，单击“本地域”并在“组类型”中，单击“安全组”。6. 右键单击“计算机”，然后单击“属性”。在“成员”选项卡上，单击“添加”。7. 在“输入要选择的对象名称”中，键入 CONTOSO-SRV，然后单击“确定”。最后，使用服务器管理器将 GPMC 安装在 CONTOSO-SRV 上。它将用来配置高级安全审核策略设置。安装 GPMC 的步骤1. 以本地 Administrators 组的成员身份登录 CONTOSO-SRV。2. 单击开始，指向“管理工具”，然后单击“服务器管理器”。3. 在“功能摘要”下，单击“添加功能”。4. 选中“组策略管理”复选框，然后单击“安装”。5. 关闭“服务器管理器”。配置客户端计算机 (CONTOSO-CLNT)若要配置 CONTOSO-CLNT，必须执行以下操作： 安装 Windows 7。 配置 TCP/IP 属性。 将 CONTOSO-CLNT 加入 域。安装 Windows 7 的步骤1. 使用 Windows 7 产品 CD 启动计算机。2. 按照计算机屏幕上显示的说明操作，当系统提示输入计算机名称时，请键入 CONTOSO-CLNT。下一步，配置 TCP/IP 属性，使 CONTOSO-CLNT 具有静态 IP 地址 。此外，配置 CONTOSO-DC 的 DNS 服务器 ()。配置 TCP/IP 属性的步骤1. 使用 CONTOSO-CLNTAdministrator 帐户或本地 Administrators 组中的其他用户帐户登录 CONTOSO-CLNT。2. 依次单击开始、“控制面板”以及“网络和 Internet”，然后单击“网络和共享中心”。3. 单击“更改适配器设置”，右键单击“本地连接”，然后单击“属性”。4. 如果出现“用户帐户控制”对话框，请确认其显示的是您要执行的操作，然后单击“是”。 5. 在“网络”选项卡上，单击“Internet 协议版本 4 (TCP/IPv4)”，然后单击“属性”。6. 单击“使用下面的 IP 地址”。在“IP 地址”中，键入 。在“子网掩码”中，键入 。7. 单击“使用下面的 DNS 服务器地址”。在“首选 DNS 服务器”中，键入 。8. 单击“确定”，然后单击“关闭”关闭“本地连接属性”对话框。接下来，将 CONTOSO-CLNT 加入到 域。将 CONTOSO-CLNT 加入到 域的步骤1. 单击开始，右键单击“计算机”，然后单击“属性”。2. 在“计算机名称、域和工作组设置”下，单击“更改设置”。3. 如果出现“用户帐户控制”对话框，请确认其显示的是您要执行的操作，然后单击“是”。 4. 在“计算机名”选项卡上，单击“更改”。5. 在“计算机名/域更改”对话框中，单击“域”，然后键入 。6. 单击“更多”，在“此计算机的主 DNS 后缀”框中，键入 。7. 单击“确定”，然后再次单击“确定”。8. 当出现“计算机名/域更改”对话框提示输入管理凭据时，请提供相应凭据，然后单击“确定”。9. 当出现“计算机名/域更改”对话框欢迎您进入 域时，单击“确定”。10. 当出现“计算机名/域更改”对话框提示您必须重新启动计算机时，单击“确定”，然后单击“关闭”。11. 在“系统设置更改”对话框中，单击“是”重新启动计算机。步骤 2：创建和验证高级审核策略使用“计算机配置策略Windows 设置安全设置本地策略审核策略”下的九个基本审核策略，可以为广泛的行为集配置安全审核策略设置，其中一些行为生成比其他行为更多的审核事件。不管对这些事件是否感兴趣，管理员必须查看生成的所有事件。在 Windows Server 2008 R2 和 Windows 7 中，管理员可以审核计算机或网络上更具体的客户端行为的各个方面，从而便于确定最感兴趣的行为。例如，在“计算机配置策略Windows 设置安全设置本地策略审核策略”中，只有一个用于登录事件的策略设置“审核登录事件”。在“计算机配置策略Windows 设置安全设置高级审核策略配置系统审核策略”中，您可以在“登录/注销”类别中选择八个不同的策略设置。这为您提供了对可以跟踪的登录和注销方面的更加详细地控制。当创建新域时自动生成默认域策略。在此部分中，我们将编辑默认的域策略并添加在用户成功或未成功登录 CONTOSO 域中的计算机时进行审核的高级安全审核策略设置。若要配置、应用和验证高级域登录审核策略设置，您必须： 配置高级域登录策略设置。 确保高级审核策略配置设置不被覆盖。 更新组策略设置。 验证是否正确应用高级登录安全审核策略设置。配置高级域登录审核策略设置的步骤1. 以本地 Administrators 组的成员身份登录 CONTOSO-SRV。2. 单击开始，指向“管理工具”，然后单击“组策略管理”。3. 在控制台树中，依次双击“林: ”、“域”、。4. 右键单击“默认域策略”，然后单击“编辑”。5. 依次双击“计算机配置”、“策略”和“Windows 设置”。6. 依次双击“安全设置”、“高级审核策略配置”和“系统审核策略”。7. 双击“登录/注销”，再双击“登录”。8. 依次选中“配置以下审核事件”复选框、“成功”复选框、“失败”复选框，然后单击“确定”。当使用“高级审核策略配置”设置时，您需要确认这些设置不会被基本审核策略设置覆盖。以下过程介绍如何通过阻止应用任何基本的审核策略设置来防止冲突。确保高级审核策略配置设置不被覆盖的步骤1. 在 CONTOSO-SRV 上，单击开始，指向“管理工具”，然后单击“组策略管理”。2. 在控制台树中，依次双击“林: ”、“域”、。3. 右键单击“默认域策略”，然后单击“编辑”。4. 依次双击“计算机配置”、“策略”和“Windows 设置”。5. 双击“安全设置”，然后单击“安全选项”。6. 双击“审核: 强制审核策略子类别设置(Windows Vista 或更高版本)替代审核策略类别设置”，然后单击“定义此策略设置”。7. 单击“已启用”，然后单击“确定”。在验证 域中高级安全审核策略设置的功能之前，您将以 域的域管理员身份登录 CONTOSO-CLNT 并且确保应用组策略设置。 更新组策略设置的步骤1. 以 CONTOSOAdministrator 身份登录到 CONTOSO-CLNT。2. 单击开始，指向“所有程序”，单击“附件”，右键单击“命令提示符”，然后单击“以管理员身份运行”。3. 如果出现“用户帐户控制”对话框，请确认其显示的是您要执行的操作，然后单击“是”。4. 键入 gpupdate，然后按 Enter。应用组策略设置之后，您可以验证是否正确应用审核策略设置。 验证是否正确应用高级登录安全审核策略设置的步骤1. 以 CONTOSOAdministrator 身份登录到 CONTOSO-CLNT。2. 单击开始，指向“所有程序”，单击“附件”，右键单击“命令提示符”，然后单击“以管理员身份运行”。3. 如果出现“用户帐户控制”对话框，请确认其显示的是您要执行的操作，然后单击“是”。4. 键入 auditpol.exe /get /category:*，然后按 Enter。5. 验证“成功”、“失败”或“成功和失败”显示在“登录”的右侧。步骤 3：创建和验证提供对象访问原因的审核策略最常见的审核需要之一是跟踪对特殊文件或文件夹的访问。例如，您可能需要确定某个活动，如用户正在写入他应该没有访问权限的某个文件。通过启用“访问原因”审核，您将不仅仅能够跟踪这种类型的活动，而且还将能够确定允许不需要的访问的确切访问控制条目，这可以大大简化对修改访问控制设置的任务，以防止将来进行类似的不需要的对象访问。 若要配置、应用和验证对象访问策略的原因，您必须： 配置文件系统审核策略。 启用对文件或文件夹的审核。 启用句柄操作审核策略。 确保高级审核策略配置设置不被覆盖。 更新组策略设置。 查看和验证访问审核数据的原因。配置文件系统审核策略的步骤1. 以本地 Administrators 组的成员身份登录 CONTOSO-SRV。2. 单击开始，指向“管理工具”，然后单击“组策略管理”。3. 在控制台树中，依次双击“林: ”、“域”、。4. 右键单击“默认域策略”，然后单击“编辑”。5. 依次双击“计算机配置”、“策略”和“Windows 设置”。6. 依次双击“安全设置”、“高级审核策略配置”和“系统审核策略”。7. 双击“对象访问”，然后双击“文件系统”。8. 选中“配置以下事件”复选框，然后选中“成功”、“失败”或同时选中“成功”和“失败”复选框。9. 单击“确定”。文件系统审核策略仅用于监视已经配置审核 SACL 的对象。以下过程介绍如何配置对文件或文件夹的审核。启用对文件或文件夹的审核的步骤1. 以本地 Administrators 组的成员身份登录 CONTOSO-CLNT。2. 创建一个新文件夹或 .txt 文档。3. 右键单击新对象，单击“属性”，然后单击“安全”选项卡。4. 单击“高级”，然后单击“审核”选项卡。5. 如果出现“用户帐户控制”对话框，请确认其显示的是您要执行的操作，然后单击“是”。6. 单击“添加”，以 contosouser1 格式键入用户名或计算机名，然后单击“确定”。7. 在“以下内容的审核项目”对话框中，选择要审核的权限，如“完全控制”或“删除”。8. 单击“确定”四次以完成对象 SACL 的配置。在 Windows 7 和 Windows Server 2008 R2 中，将授予或拒绝某人访问的原因添加到开放句柄事件。这样可使管理员了解为什么某个人能够打开文件、文件夹或文件共享进行特定访问。若要启用该功能，还需要启用句柄操作审核策略，以便允许成功的事件记录访问尝试以及拒绝失败的事件记录访问尝试。启用句柄操作审核策略的步骤1. 以本地 Administrators 组的成员身份登录 CONTOSO-SRV。2. 单击开始，指向“管理工具”，然后单击“组策略管理”。3. 在控制台树中，依次双击“林: ”、“域”、。4. 双击“金融”OU，右键单击“金融审核策略”，然后单击“编辑”。5. 依次双击“计算机配置”、“策略”和“Windows 设置”。6. 依次双击“安全设置”、“高级审核策略配置”和“系统审核策略”。7. 双击“对象访问”，右键单击“句柄操作”，然后单击“属性”。8. 依次选中“配置以下审核事件”复选框、“成功”和“失败”复选框，然后单击“确定”。创建此审核策略之后，确认这些高级审核策略设置不会被覆盖。有关详细信息，请参阅步骤 2：创建和验证高级审核策略部分中的“确保高级审核策略配置设置不被覆盖的步骤”过程。然后通过使用步骤 2：创建和验证高级审核策略部分中的“更新组策略设置”过程来应用组策略更新。应用更新的组策略设置之后，确保登录并从 CONTOSO-CLNT 注销，然后完成将生成对象访问事件原因的一些任务。完成这些步骤之后，便可以查看提供访问原因的审核数据。查看访问原因审核数据的步骤1. 在 CONTOSO-CLNT 上，请单击开始，指向“管理工具”，然后单击“事件查看器”。2. 单击“Windows 日志”，然后单击“安全”。3. 在“操作”窗格中，单击“清除日志”。4. 查找您在域级别对象访问过程中配置的文件或文件夹，并使用您为用户帐户配置的权限修改该文件或文件夹。5. 回到“事件查看器”，然后在“操作”窗格中，单击“刷新”。6. 在“事件 ID”列中，单击标题为 4656 的事件，向下滚动到“访问请求信息”部分，确认使用这些权限执行该任务。步骤 4：创建和验证全局对象访问策略可以使用全局对象访问审核策略对计算机、文件共享或注册表实施对象访问审核策略，而不需配置和传播传统的 SACL。配置和传播 SACL 是一个非常复杂的管理任务，并且很难进行验证，尤其是需要向审核员验证是否实施安全策略时。通过使用全局对象访问审核策略，您可以实施安全策略，如“记录服务器上包含金融信息的所有管理写入活动”，并且可以验证重要资产是否受保护。这种情况下，您将审核指定组中成员对注册表项进行的任何更改，而不是对文件系统对象进行的更改。若要配置、应用和验证全局对象访问审核策略，您必须： 配置域全局对象访问审核策略。 确保高级审核策略配置设置不被覆盖。 更新组策略设置。 确认进行的是全局对象访问审核。配置域全局对象访问审核策略的步骤1. 以本地 Administrators 组的成员身份登录 CONTOSO-SRV。2. 单击开始，指向“管理工具”，然后单击“组策略管理”。3. 在控制台树中，依次双击“林: ”、“域”、。4. 右键单击“默认域策略”，然后单击“编辑”。5. 依次双击“计算机配置”、“策略”和“Windows 设置”。6. 依次双击“安全设置”、“高级审核策略配置”和“系统审核策略”。7. 双击“对象访问”，然后双击“注册表”。8. 依次选中“配置以下事件”复选框、“成功”和“失败”复选框，然后单击“确定”。9. 双击“全局对象访问策略”，然后双击“注册表”。10. 选中“定义此策略设置”复选框，然后单击“配置”。11. 在“注册表 SACL 的高级安全设置”框中，单击“添加”。12. 以 contosouser1、 或 CONTOSO-CLNT 格式键入用户名或计算机名，然后单击“确定”。13. 在“全局注册表 SACL 的审核项目”框中，选择要为其记录审核项目的“成功”或“失败”的活动，例如，“创建子项”、“删除”或“读取”。14. 单击“确定”三次以完成审核策略配置。创建该审核策略之后，确认这些高级审核策略设置不会被覆盖。有关详细信息，请参阅步骤 2：创建和验证高级审核策略部分中的“确保高级审核策略配置设置不被覆盖的步骤”过程。然后通过使用步骤 2：创建和验证高级审核策略部分中的“更新组策略设置”过程来应用组策略更新。应用更新的组策略设置之后，登录并从 CONTOSO-CLNT 注销。验证是否应用全局对象访问策略的步骤1. 打开注册表编辑器，创建并修改一个或多个注册表设置。2. 删除您创建的一个或多个注册表设置。3. 打开事件查看器，确认您的活动导致了审核事件，即使您没有在创建、修改和删除的注册表设置上设置显式审核 SACL。步骤 5：创建和验证其他高级审核策略 既然您已经创建、应用和验证了三种基本类型的高级安全审核策略设置，下面继续使用前面部分中概述的基本过程标识和测试其他高级安全审核策略设置。若要标识您的组织可能感兴趣的其他设置，请查看 Windows 安全审核中的新增功能中的信息。通过右键单击各个设置，单击“属性”，然后单击“说明”选项卡可以在“计算机配置策略Windows 设置安全设置高级审核策略配置系统审核策略”下获得其他信息。应用和测试其他设置时，考虑生成的审核事件数据如何帮助您创建更安全的网络。尤其要考虑以下内容： 这些审核事件提供的信息有用吗？ 审核数据提供足够的信息了吗？ 审核数据提供的信息太多了吗？ 如何调整这些审核策略设置以只获得需要的信息？安全审核是非常重要且必不可少的工具，它可以帮助您确保网络资产的安全。您应该花费必要的时间来探讨和了解 Windows 7 和 Windows Server 2008 R2 中的新高级安全审核策略设置。管理 Windows 7 和 Windows Server 2008 R2 中的每用户审核只能针对每台计算机而不是针对每个用户配置和使用 Windows 7 和 Windows Server 2008 R2 中的安全审核策略设置。但是，有多种方法将审核设置应用于特