AuditPol.exe命令管理

審核管理是IT安全維運(yùn)中極為重要的一環(huán)，因此無(wú)論是應(yīng)用系統(tǒng)的導(dǎo)入、遠(yuǎn)程聯(lián)機(jī)存取的規(guī)劃、后端數(shù)據(jù)庫(kù)系統(tǒng)的建置以及服務(wù)器作業(yè)平臺(tái)的存取等等，都需要提供這樣的基礎(chǔ)功能以落實(shí)企業(yè)e化安全的需求。

在Windows Server 2008預(yù)設(shè)的審核管理中，預(yù)設(shè)并沒(méi)有將所可以審核的項(xiàng)目全部啟用，管理員可以自行透過(guò)單一的成員服務(wù)器的本機(jī)安全策略，或是從域控制器來(lái)進(jìn)行網(wǎng)域安全策略與域控制器安全策略來(lái)逐一部署審核設(shè)定原則，在此能夠啟用的審核項(xiàng)目包含了目錄服務(wù)存取、系統(tǒng)事件、對(duì)象存取、原則變更、特殊權(quán)限使用、賬戶登入事件、賬戶管理、登入事件以及程序追蹤，至于審核的內(nèi)容則可以選擇成功或失敗，如果擔(dān)心到時(shí)候在事件檢視中的安全性事件過(guò)多，在此建議您至少要審核失敗的項(xiàng)目，只有這樣，才能夠在后續(xù)有效追蹤嘗試進(jìn)行特定存取行為的用戶事件信息。

關(guān)于在Windows Server 2008的安全性審核管理中，這一項(xiàng)全新的AD DS的審核管理功能，是一項(xiàng)安全審核管理上非常重要，同時(shí)也是全新改良設(shè)計(jì)后的審核機(jī)制，它可以在Active Directory對(duì)象被異動(dòng)時(shí)，同一時(shí)間下記錄舊版與新版的屬性設(shè)定值。而在舊版的Windows Server 2000與Windows Server 2003中，Active Directory的審核記錄只能夠顯示出有誰(shuí)曾經(jīng)修改過(guò)哪些對(duì)象屬性，但是在事件記錄中卻無(wú)法顯示出新舊版之間的屬性差異。例如，當(dāng)Jovi修改了Landy用戶的地址字段數(shù)據(jù)之后，在審核記錄中只能夠查到Jovi在什么時(shí)間點(diǎn)去異動(dòng)過(guò)，但是卻無(wú)法讓安全審核人員知道Jovi究竟更改過(guò)哪些字段數(shù)據(jù)，以及進(jìn)行修改前與修改后的域值資料比對(duì)，有了Windows Server 2008之后，便可以讓公司的安全審核人員更能夠清楚掌握到這一些細(xì)節(jié)信息。

在早期舊版的Windows Server 2000與Windows Server 2003中，審核策略的設(shè)定項(xiàng)目只有一個(gè)，那就是“審核目錄服務(wù)存取”（Audit directory service access）可以設(shè)定而已，而在Windows Server 2008中，則 將 針 對(duì)目錄服務(wù)存取事件（DS 存?。┑膶徍藛⒂没蜿P(guān)閉，區(qū)分成了四項(xiàng)子類別項(xiàng)目可以來(lái)設(shè)定：目錄服務(wù)存?。―irectory Service Access）、目錄服務(wù)變更（Directory Service Changes）、目 錄 服務(wù) 復(fù) 寫（Directory Service Replication）、清單服務(wù)復(fù)寫（Detailed Directory Service Replication）。

但是，在Windows Server 2008的安全性審核管理中，除了可以同樣透過(guò)組策略或本機(jī)安全策略的圖形接口來(lái)管理之外，還可以透過(guò)一支名為AuditPol.exe的命令工具來(lái)管理。首先，我們可以在開(kāi)啟命令提示列窗口之后，輸入AuditPol.exe/?命令參數(shù)即可得知這個(gè)工具有哪些命令可以搭配使用，這包括了可以對(duì)于審核策略設(shè)定進(jìn)行組態(tài)內(nèi)容的取得、修改設(shè)定、列出可設(shè)定的類別/子類別、備份與還原以及刪除等動(dòng)作。

下面讓我們先來(lái)看看第一個(gè)AuditPol.exe命令的執(zhí)行。當(dāng)我們輸入AuditPol.exe/list/category命令參數(shù)時(shí)，便可以把目前所有可以管理的最上層審核類別項(xiàng)目陳列出來(lái)，這包括了“DS 存取”、“原則變更”、“賬戶登入”、“帳戶管理”、“對(duì)象存取”、“特殊權(quán)限使用”、“登入注銷”、“系統(tǒng)”以及“詳細(xì)追蹤”等九大項(xiàng)。

假設(shè)我們只想針對(duì)有關(guān)于“DS 存取”類別中，可以設(shè)定的子項(xiàng)目進(jìn)行查詢，則可以輸入AuditPol.exe/get/category: "DS 存取"命令參數(shù)即可得知。必須注意的是，這里所輸入的類別名稱必須依照實(shí)際操作系統(tǒng)的語(yǔ)系來(lái)輸入，像筆者所使用的是繁體中文版的 Windows Server 2008，因此，需要輸入繁體中文的名稱，如果是依照官方原文的文件數(shù)據(jù)中所提供的英文范例來(lái)輸入，則將會(huì)出現(xiàn)錯(cuò)誤訊息。

在上一個(gè)AuditPol.exe命令范例中，我們是針對(duì)特定的一個(gè)審核類別項(xiàng)目，來(lái)查看它旗下可用的子類別有哪些，如果我們今天想要一次將所有審核類別與所有旗下的子類別項(xiàng)目都陳列出來(lái)時(shí)要怎么做呢？答案很簡(jiǎn)單！輸入AuditPol.exe/get/category:*命令參數(shù)即可。

查看完所有可設(shè)定類別下的子類別之后，接下來(lái)我們就來(lái)設(shè)定一個(gè)子類別。如圖1所示，筆者輸入AuditPol.exe/set/subcategory:"登入"/failure:enable命令參數(shù)，這表示我們要對(duì)于“登入/注銷”類別下的“登入”審核加入啟用“失敗”的審核設(shè)定，完成設(shè)定之后我們便可以輸入AuditPol.exe/get/category:"登入/注銷"，來(lái)查看剛剛的子類別設(shè)定是否生效。

同樣，如果我們想針對(duì)目錄服務(wù)存取事件（DS 存?。┫碌摹澳夸浄?wù)變更”啟用“成功”審核的設(shè)定，那么便可以輸入AuditPol.exe/set/subcategory:"目錄服務(wù)變更"/success:enable命令參數(shù)即可，這樣 ，今后對(duì)于這一方面的執(zhí)行事件都會(huì)被記錄在事件查看器之中。