AuditPol.exe命令管理
2015-03-17
审核管理是IT安全维运中极为重要的一环,因此无论是应用系统的导入、远程联机存取的规划、后端数据库系统的建置以及服务器作业平台的存取等等,都需要提供这样的基础功能以落实企业e化安全的需求。
在Windows Server 2008预设的审核管理中,预设并没有将所可以审核的项目全部启用,管理员可以自行透过单一的成员服务器的本机安全策略,或是从域控制器来进行网域安全策略与域控制器安全策略来逐一部署审核设定原则,在此能够启用的审核项目包含了目录服务存取、系统事件、对象存取、原则变更、特殊权限使用、账户登入事件、账户管理、登入事件以及程序追踪,至于审核的内容则可以选择成功或失败,如果担心到时候在事件检视中的安全性事件过多,在此建议您至少要审核失败的项目,只有这样,才能够在后续有效追踪尝试进行特定存取行为的用户事件信息。
关于在Windows Server 2008的安全性审核管理中,这一项全新的AD DS的审核管理功能,是一项安全审核管理上非常重要,同时也是全新改良设计后的审核机制,它可以在Active Directory对象被异动时,同一时间下记录旧版与新版的属性设定值。而在旧版的Windows Server 2000与Windows Server 2003中,Active Directory的审核记录只能够显示出有谁曾经修改过哪些对象属性,但是在事件记录中却无法显示出新旧版之间的属性差异。例如,当Jovi修改了Landy用户的地址字段数据之后,在审核记录中只能够查到Jovi在什么时间点去异动过,但是却无法让安全审核人员知道Jovi究竟更改过哪些字段数据,以及进行修改前与修改后的域值资料比对,有了Windows Server 2008之后,便可以让公司的安全审核人员更能够清楚掌握到这一些细节信息。
在早期旧版的Windows Server 2000与Windows Server 2003中,审核策略的设定项目只有一个,那就是“审核目录服务存取”(Audit directory service access)可以设定而已,而在Windows Server 2008中,则 将 针 对目录服务存取事件(DS 存取)的审核启用或关闭,区分成了四项子类别项目可以来设定:目录服务存取(Directory Service Access)、目录服务变更(Directory Service Changes)、目 录 服务 复 写(Directory Service Replication)、清单服务复写(Detailed Directory Service Replication)。
但是,在Windows Server 2008的安全性审核管理中,除了可以同样透过组策略或本机安全策略的图形接口来管理之外,还可以透过一支名为AuditPol.exe的命令工具来管理。首先,我们可以在开启命令提示列窗口之后,输入AuditPol.exe/?命令参数即可得知这个工具有哪些命令可以搭配使用,这包括了可以对于审核策略设定进行组态内容的取得、修改设定、列出可设定的类别/子类别、备份与还原以及删除等动作。
下面让我们先来看看第一个AuditPol.exe命令的执行。当我们输入AuditPol.exe/list/category命令参数时,便可以把目前所有可以管理的最上层审核类别项目陈列出来,这包括了“DS 存取”、“原则变更”、“账户登入”、“帐户管理”、“对象存取”、“特殊权限使用”、“登入注销”、“系统”以及“详细追踪”等九大项。
假设我们只想针对有关于“DS 存取”类别中,可以设定的子项目进行查询,则可以输入AuditPol.exe/get/category: "DS 存取"命令参数即可得知。必须注意的是,这里所输入的类别名称必须依照实际操作系统的语系来输入,像笔者所使用的是繁体中文版的 Windows Server 2008,因此,需要输入繁体中文的名称,如果是依照官方原文的文件数据中所提供的英文范例来输入,则将会出现错误讯息。
在上一个AuditPol.exe命令范例中,我们是针对特定的一个审核类别项目,来查看它旗下可用的子类别有哪些,如果我们今天想要一次将所有审核类别与所有旗下的子类别项目都陈列出来时要怎么做呢?答案很简单!输入AuditPol.exe/get/category:*命令参数即可。
查看完所有可设定类别下的子类别之后,接下来我们就来设定一个子类别。如图1所示,笔者输入AuditPol.exe/set/subcategory:"登入"/failure:enable命令参数,这表示我们要对于“登入/注销”类别下的“登入”审核加入启用“失败”的审核设定,完成设定之后我们便可以输入AuditPol.exe/get/category:"登入/注销",来查看刚刚的子类别设定是否生效。
同样,如果我们想针对目录服务存取事件(DS 存取)下的“目录服务变更”启用“成功”审核的设定,那么便可以输入AuditPol.exe/set/subcategory:"目录服务变更"/success:enable命令参数即可,这样 ,今后对于这一方面的执行事件都会被记录在事件查看器之中。
