在 Windows 中设置审核策略

除了设置访问者和资源的访问规则,您可以指定要写入审核日志的 Windows 事件。 您可以按组、按配置文件组或按每个用户为整个组织指定这类审核策略。
cminder12901cn
除了设置访问者和资源的访问规则,您可以指定要写入审核日志的 Windows 事件。 您可以按组、按配置文件组或按每个用户为整个组织指定这类审核策略。
示例:为配置文件组中的所有成员设置审核策略
以下示例显示如何为包含在配置文件组中的所有用户设置审核策略:
  1. 创建包含您所需的审核模式的新配置文件组。 例如:
    newgrp profileGroup audit(failure) owner(nobody)
  2. 创建新用户,并将其附加到您创建的配置文件组。 例如:
    newusr user1 profile(profileGroup) owner(nobody)
  3. 删除用户的审核设置。 例如:
    chusr user1 audit-
您现在可以检查该设置是否有效:
  1. 作为新用户登录:
    runas /user:user1 cmd.exe
  2. 在 user1 的命令提示符窗口中,输入以下命令:
    secons -whoami
    此命令显示用于授权的信息,并且保留在 user1 的 ACEE 中。
    ACEE audit mode is: Failure; Originated from Profile group definition
    此消息确认审核策略源于用户附加到的配置文件组。
示例:为组成员设置审核策略
在此示例中,名为 Forward Inc 的虚构公司希望使用 CA ControlMinder 来保护 /production 目录中的所有文件。 /production 目录在本地环境中具有完全访问权限。
Forward Inc 希望拒绝并审核对 /production 目录的所有访问尝试。 然而,Forward Inc 允许开发人员对 /production 目录的读取访问权限。 此访问权限未经审核。 开发人员对 /production 目录的写入尝试被拒绝并被审核。
开发人员可以要求对 /production 目录的完全访问权限。 Forward Inc 审核具有完全访问权限的用户在 /production 目录中执行的任何活动。
以下过程说明 Forward Inc 实施以上方案所采取的步骤:
  1. 在本地环境中创建名为 Developer 的组。 将所有开发人员加入到该组。
  2. 在本地环境中创建名为 Dev_Access_All 的组。 不将任何用户加入到此组中。
  3. 为 /production 目录定义常规访问规则,如下所示:
    authorize FILE /production/* access(none) uid(*)
    此规则将默认访问权限设置为“无”。
  4. 为 /production 目录定义常规审核规则,如下所示:
    editres FILE /production/* audit(failure)
    此规则审核对 /production 目录的任何失败的访问尝试。
  5. 为 Developer 组定义访问规则,如下所示:
    authorize FILE /production/* access(read) xgid(Developers)
    此规则允许 Developer 组成员对 /production 目录的读取访问权限。
    注意:
    您在步骤 4 中设置的规则有助于确保 CA ControlMinder 审核包括开发组成员在内的任何用户的失败访问尝试。
  6. 为 Dev_Access_All 组定义访问规则,如下所示:
    authorize FILE /production/* access(all) xgid(Dev_Access_All)
    此规则允许 Dev_Access_All 组成员具有对 /production 目录的完全访问权限。
  7. 为 Dev_Access_All 组定义审核规则,如下所示:
    chxgrp Dev_Access_All audit(all)
    此规则审核 Dev_Access_All 组成员执行的每个操作。
  8. 当 Developer 组的成员需要对 /production 目录的完全访问权限时,将用户添加到本地环境中的 Dev_Access_All 组。
    用户具有对 /production 目录的完全访问权限,CA ControlMinder 审核用户执行的每个操作。
    注意:
    用户必须启动新的登录会话,才能使组成员资格的更改生效。
  9. 当用户在 /production 目录中完成其任务后,请将该用户从本地环境的 Dev_Access_All 组中删除。 
    用户现在具有对 /production 目录的读取访问权限。 CA ControlMinder 拒绝并审核用户对 /production 目录的所有其他访问尝试。
    注意:
    用户必须启动新的登录会话,才能使组成员资格的更改生效。