Windows 2003安全指南之创建成员服务器基线一

概述

本章描述了针对所有运行Microsoft® Windows Server™ 2003的服务器管理基线安全模板所需的配置需求。此外，本章还将提供在三种企业级运行环境中建立并配置安全可靠的Windows Server 2003系统所需的管理指导。本章所包含的配置需求为本指南后续章节中所有其它应用特定服务器角色的复杂处理过程提供了基准。

本章提供的建议设置方案为企业级运行环境中的商务应用服务器构建了一种坚实基础。然而，如需在生产环境中实施这些安全配置，您必须首先就其与自身组织机构的商务应用共存情况进行全面测试。

本章提供的建议设置方案适用于绝大多数企业，并且可以在运行Windows Server 2003的现有系统或新增系统上加以部署。这些建议设置方案已针对Windows Server 2003中的缺省安全配置方案进行了必要的研究、审核与测试。如需获取所有缺省设置信息以及本章所讨论之设置的详细解释内容，请查看参考指南《威胁与对策：Windows Server 2003与Windows XP中的安全设置》，该书可通过网址http://go.microsoft.com/fwlink/?LinkId=15159获得。尽管如此，我们还是建议您在高于缺省设置的安全级别上部署绝大多数建议配置方案。

本章所讨论的针对企业级运行环境中所有Windows Server 2003系统的基准安全设置均与以下所定义的三种运行环境相关联。这三种环境分别是：

网管联盟bitsCN_com

• 旧有客户机——提供不会束缚混合状态运行环境的足够安全性。这种旧有客户机级别专门面向于使用旧有客户机的运行环境。这种运行环境处于本指南所定义的最低锁定级别。为进一步确保运行环境安全性，组织机构可以选择移植到下一个锁定级别——即企业客户机级别，或者，如果无需确保旧有客户机安全性，则应直接从企业客户机级别开始。这种商务运行环境包括运行Microsoft Windows® 98、Microsoft Windows NT® 4.0 Workstation、Windows 2000 Professional和Windows XP Professional的工作站系统，并且只包含Windows 2000或更高版本的域控制器。这种运行环境中无法使用Windows NT 4.0域控制器，但却可以存在Windows NT成员服务器。
• 企业客户机——提供专为新型系统运行环境而设计的牢固安全性。这种商务运行环境包含运行Windows 2000 Professional和Windows XP Professional的客户端。从旧版运行环境移植到企业级运行环境所需完成的工作主要是对旧有客户机进行升级，例如将Windows 98和Windows NT 4.0 Workstation升级为Windows 2000或Windows XP。这种运行环境中的所有域控制器均为Windows 2000 Server或更高版本产品。同时，这种运行环境中的成员服务器也必须使用Windows 2000 Server或更高版本操作系统。
• 高安全性 ——提供在企业客户机级别基础上进一步增强的安全性标准。从企业级运行环境移植到高安全性运行环境需要确保客户端及服务器均能符合严格的安全策略。这种运行环境包含运行Windows 2000 Professional和Windows XP Professional操作系统的客户端，以及运行Windows 2000 Server或更高版本操作系统的域控制器。在高安全性运行环境中，对安全性的关注首当其冲，以至于为实现高安全性，可以将损失显著功能性与易管理性作为交换。这种运行环境中的成员服务器必须使用Windows 2000 Server或更高版本操作系统。

以下插图显示了这三种安全性层次以及每种层次所支持的客户端类型。 中国网管联盟bitsCN.com
图 3.1 现有及规划锁定级别

那些希望采取阶段性方式确保运行环境安全性的组织机构可以选择从旧有客户机运行环境开始，并伴随应用程序与客户端计算机陆续升级且通过严格安全设置测试，逐步向更高安全性级别进行移植。 中国网管论坛bbs.bitsCN.com

以下插图显示了如何将.inf文件安全模板作为企业客户机——成员服务器基线策略（MSBP）的基础使用。此外，这张插图还显示了针对组织机构中所有服务器应用成员服务器基线策略的一种可能连接方式。

网管论坛bbs_bitsCN_com

Windows Server 2003本身具备一套能够实现安全可靠状态的缺省设置。在许多实例中，本章内容指定了缺省设置以外的其它设置，并且针对本指南中定义的三种运行环境加强了缺省设置方式。如需获取有关所有缺省设置的信息，请查看参考指南《威胁与对策：Windows Server 2003与Windows XP中的安全设置》，该书可通过网址http://go.microsoft.com/fwlink/?LinkId=15159获得。 网管网www.bitscn.com

图 3.2 用以连接成员服务器组织单元（OU）的安全模板Enterprise Client – Member Server Baseline.inf已被导入至MSBP当中。

针对特定服务器角色的强化处理过程将在本指南其余章节中予以定义。本指南所涉及的主要服务器角色包括： 中国网管联盟bitsCN.com

•   包含域名系统（DNS）服务的域控制器。
•   包括以下功能特性的基础架构服务器角色：
  •   Windows Internet名称服务（WINS）
  •   动态主机配置协议（DHCP）
•   文件
•   打印
•   Internet Information Services（IIS）
•   Microsoft Internet Authentication Server（IAS）
•   认证服务服务器（CA）
•   堡垒主机

出现在企业客户机MSBP中的许多设置也将应用于本指南定义的这三种运行环境中所涉及的服务器角色。安全模板是专为满足每一种特定运行环境安全需求而设计的。以下表格显示了基准安全模板与三中运行环境之间的相互关系。如需在旧有客户机、企业客户机或高安全性级别中调出具体细节，与建议基线策略相关联的安全模板将提供用以辨别正确模板的级别标识。举例来说，Enterprise Client – Member Server Baseline.inf文件是针对企业客户机运行环境的建议安全模板。

表格 3.1： 针对三种运行环境的基准安全模板

旧有客户机 网管u家u.bitscn@com	企业客户机 中国网管论坛bbs.bitsCN.com	高安全性 网管bitscn_com
Legacy Client – Member Server Baseline.inf 中国网管论坛bbs.bitsCN.com	Enterprise Client – Member Server Baseline.inf 网管论坛bbs_bitsCN_com	High Security – Member Server Baseline.inf 网管下载dl.bitscn.com

以下Windows Server 2003基线策略部分描述了Member Server Baseline.inf安全模板中适用于所有运行环境的安全设置。这些基准安全模板同时还是第四章——“强化域控制器”——中所定义域控制器安全模板的出发点。

Enterprise Client – Domain Controllers Role.inf模板提供了针对域控制器组策略之组策略对象（GPO）的基准，并且与所有三种运行环境中的域控制器组织单元（OU）相连接。旨在帮助用户创建OU和组策略以及向每个OU中导入适当安全模板的逐步操作指导已在第2章——“配置域的基础架构”中进行了详细介绍。 网管联盟bitsCN_com

说明：某些强化处理过程无法通过组策略自动完成；这些处理过程将在本章稍后的附加成员服务器强化处理过程部分中加以描述。

Windows Server 2003基线策略 网管网www_bitscn_com

成员服务器OU级别上的设置选项定义了面向域中所有成员服务器的通用设置。这是通过创建与成员服务器OU相连接的GPO——称作基线策略——实现的。这种GPO将自动完成每台服务器上的特定安全设置配置工作。以下设置内容将在其出现在安全配置编辑器（SCE）管理单元用户界面（UI）中时予以描述。

审核策略

管理员应当创建一种审核策略。这种审核策略用于确定需要报告至网络管理员以便使特定事件类别中的用户或系统活动得到及时记录的安全事件。当用户登录到计算机、从计算机上注销，或对审核策略设置进行修改时，管理员可以对诸如特定对象访问者之类的安全活动加以监控。 网管论坛bbs_bitsCN_com

在实现审核策略前，必须首先完成的一项工作便是确定需要在企业运行环境中对哪些事件类别进行审核。管理员针对事件类别所选择的审核设置将用于定义企业审核策略。通过定义针对特定事件类别的审核设置，管理员可以创建出适合于组织机构安全需求的审核策略。

中国网管联盟bitsCN.com

如果未对审核方式加以配置，管理员将很难甚至不可能确定在安全事故中发生了哪些事件。相反，如果审核方式过于繁琐，以至于过多授权活动都将生成事件，那么，安全事件日志将被大量无用数据填满。因此，以下建议将帮助您做出对哪些事件进行监控的权衡决策。

以下表格包含了针对本指南中所定义的三种运行环境的审核策略设置建议。或许您已经注意到，在这三种运行环境中，针对许多设置的取值都非常近似。 网管下载dl.bitscn.com

以下取值可以在下列位置上的Windows Server 2003域组策略部分中加以配置：

Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy 中国网管联盟bitsCN.com

如需获取这部分中所描述设置选项的概要信息，请查看名为Windows Server 2003安全指导设置的Microsoft Excel电子表格。如需获取缺省设置信息以及这部分所讨论之设置的详细解释内容，请查看参考指南《威胁与对策：Windows Server 2003与Windows XP中的安全设置》，该书可通过网址http://go.microsoft.com/fwlink/?LinkId=15159获得。 网管下载dl.bitscn.com

审核帐号登录事件

网管论坛bbs_bitsCN_com

表格 3.2：设置 网管u家u.bitscn@com

成员服务器缺省取值 网管联盟bitsCN@com	旧有客户机 中国网管论坛bbs.bitsCN.com	企业客户机 网管下载dl.bitscn.com	高安全性 网管u家u.bitsCN.com
成功 网管下载dl.bitscn.com	成功 失败 网管u家u.bitscn@com	成功 失败 网管bitscn_com	成功 失败 网管u家u.bitsCN.com

审核帐号登录事件设置用于确定是否对每个用户实例登录或注销另一台需要验证帐号的计算机的活动进行审核。在域控制器上对域用户帐号进行身份验证时将产生一个帐号登录事件。这个事件将被记录到域控制器的安全日志中。在本地计算机上对本地用户进行身份验证时将产生一个登录事件。这个事件将被记录到本地安全日志中。对于帐号注销事件，则没有任何信息需要记录。 网管联盟bitsCN_com

以下表格列出了这项设置在安全事件日志中所记录的某些重要安全事件。 中国网管联盟bitsCN.com

表格 3.3：帐号登录事件 中国网管论坛bbs.bitsCN.com

事件编号 网管联盟bitsCN@com	事件描述 网管u家u.bitscn@com
672 中国网管论坛bbs.bitsCN.com	身份验证服务（AS）票证得到成功发行与验证。 网管网www_bitscn_com
673 网管bitscn_com	票证授权服务（TGS）票证得到授权。TGS是一份由Kerberos 5.0版票证授权服务（TGS）发行、且允许用户针对域中特定服务进行身份验证的票证。 网管下载dl.bitscn.com
674 网管bitscn_com	安全主体重建AS票证或TGS票证。 网管网www_bitscn_com
675 网管网www.bitscn.com	预身份验证失败。这种事件将在用户输入错误密码时由密钥分发中心（KDC）生成。 网管bitscn_com
676 网管u家u.bitsCN.com	身份验证票证请求失败。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。 网管联盟bitsCN_com
677 网管论坛bbs_bitsCN_com	TGS票证无法得到授权。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。 网管网www.bitscn.com
678 网管论坛bbs_bitsCN_com	指定帐号成功映射到一个域帐号。 网管联盟bitsCN_com
681 网管网www.bitscn.com	登录失败。域帐号尝试进行登录。这种事件在Windows XP Professional操作系统或Windows Server产品家族成员中将不会产生。 网管网www.bitscn.com
682 网管网www.bitscn.com	用户重新连接到一个已经断开连接的终端服务器会话上。 网管网www_bitscn_com
683 网管bitscn_com	用户在没有注销的情况下与终端服务器会话断开连接。 网管网www_bitscn_com

以上列出的事件编号可用于创建用以监控各种套装软件——例如Microsoft运行管理器（MOM）——的自定义报警。

网管联盟bitsCN_com

审核帐号管理

网管论坛bbs_bitsCN_com

表格 3.4：设置 网管下载dl.bitscn.com

成员服务器缺省取值 网管u家u.bitsCN.com	旧有客户机 网管联盟bitsCN_com	企业客户机 网管联盟bitsCN@com	高安全性 网管联盟bitsCN_com
无审核 网管u家u.bitscn@com	成功 失败 网管bitscn_com	成功 失败 网管网www_bitscn_com	成功 失败 网管联盟bitsCN@com

审核帐号管理设置用于确定是否对计算机上每个帐号管理事件进行审核。帐号管理事件的具体示例包括：

•   创建、修改或删除一个用户帐号或组
•   重新命名、禁用或启用一个用户帐号。
•   设置或修改一个密码。

组织机构需要掌握哪些人员曾经创建、修改或删除过域帐号和本地帐号。未经授权的修改内容既可能是不了解如何遵守企业策略的管理员所进行的错误修改，也可能是蓄谋以久的恶意攻击。 中国网管论坛bbs.bitsCN.com

举例来说，帐号管理失败事件通常表示低级别管理员——或者窃取低级别管理员帐号的非法攻击者——试图提升自身权限。从日志记录中，您可以看到攻击者修改并创建了哪些帐号。 网管u家u.bitsCN.com

出于这种原因，针对这项设置所采用的策略是在三种运行环境中均将其取值设置为同时包含成功与失败情况。以下表格列出了这项设置在安全事件日志中所记录的某些重要安全事件。 网管网www.bitscn.com

表格 3.5： 帐号管理事件 网管联盟bitsCN@com

事件编号	事件描述
624	一个用户帐号被创建。
627	一个用户密码被修改。
628	一个用户密码被设置。
630	一个用户密码被删除。
631	一个全局组被创建。
632	一个成员被添加到特定全局组中。
633	一个成员从特定全局组中被删除。
634	一个全局组被删除。
635	一个新的本地组被创建。
636	一个成员被添加到本地组中。
637	一个成员从本地组中被删除。
638	一个本地组被删除。
639	一个本地组帐号被修改。
641	一个全局组帐号被修改。
642	一个用户帐号被修改。
643	一个域策略被修改。
644	一个用户帐号被自动锁定。
645	一个计算机帐号被创建。
646	一个计算机帐号被修改。
647	一个计算机帐号被删除。
648	一个禁用安全特性的本地安全组被创建。 网管论坛bbs_bitsCN_com  说明：正式名称中的SECURITY_DISABLED意味着这个组无法用于在访问检查中授予权限。
649	一个禁用安全特性的本地安全组被修改。
650	一个成员被添加到一个禁用安全特性的本地安全组中。
651	一个成员从一个禁用安全特性的本地安全组中被删除。
652	一个禁用安全特性的本地组被删除。
653	一个禁用安全特性的全局组被创建。
654	一个禁用安全特性的全局组被修改。
655	一个成员被添加到一个禁用安全特性的全局组中。
656	一个成员从一个禁用安全特性的全局组中被删除。
657	一个禁用安全特性的全局组被删除。
658	一个启用安全特性的通用组被创建。
659	一个启用安全特性的通用组被修改。
660	一个成员被添加到一个启用安全特性的通用组中。
661	一个成员从一个启用安全特性的通用组中被删除。
662	一个启用安全特性的通用组被删除。
663	一个禁用安全特性的通用组被创建。

664	一个禁用安全特性的通用组被修改。
665	一个成员被添加到一个禁用安全特性的通用组中。
666	一个成员从一个禁用安全特性的通用组中被删除。
667	一个禁用安全特性的通用组被删除。
668	一个组类型被修改。
684	管理组成员的安全描述符被设置。 网管网www.bitscn.com 说明：在域控制器上，一个后台线程每60秒将对管理组中的所有成员（如域管理员、企业管理员和架构管理员）进行一次搜索并对其应用一个经过修复的安全描述符。这种事件将被记录下来。
685	一个帐号名称被修改。

以上列出的事件编号可用于创建用以监控各种套装软件——如Microsoft Operation Manager（MOM）——的自定义报警。大多数运行管理软件能够通过脚本方式加以定制，以便根据上面所列出的事件编号来捕捉或标记相关事件。

网管联盟bitsCN@com

审核目录服务访问

表格3.6：设置 网管联盟bitsCN_com

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
无审核	成功 失败	成功 失败	成功 失败

审核目录服务访问 设置选项用于确定是否对那些访问拥有自身系统访问控制列表（SACL）的Microsoft Active Directory®目录服务对象的访问事件进行审核。如果将审核目录服务访问选项设置为无审核，管理员将很难甚至无法确定哪些Active Directory对象在安全事故中可能遭到了破坏。如果这个选项未被设置为成功和失败，那么，当安全事故发生后，您将无法获得用以进行分析审核记录证据。

网管网www_bitscn_com

如果将审核目录服务访问设置为成功，系统将在用户每次成功访问具备特定SACL的Active Directory对象时生成一条审核记录。如果将其设置为失败，系统将在用户每次尝试访问具备特定SACL的Active Directory对象失败时生成一条审核记录。

表格 3.7：目录服务访问事件 网管u家u.bitscn@com

事件编号	事件描述
566	发生一次普通对象操作。

审核登录事件 网管bitscn_com

表格 3.8：设置

网管网www.bitscn.com

成员服务器缺省取值	旧有客户机	企业客户机	高安全性
成功	成功 失败	成功 失败	成功 失败

审核登录事件设置选项用于确定是否对用户实例在计算机上的登录或注销事件进行审核。从域控制器帐号登录事件设置中生成的记录将用于监视域帐号活动，而从本地计算机帐号登录事件设置中生成的记录将用于监视本地帐号活动。

网管网www.bitscn.com

如果将审核登录事件设置为无审核，管理员将很难甚至无法确定哪些用户曾经登录或尝试登录到企业内部的计算机上。如果在域成员系统中针对审核登录事件选项使用成功取值，当有人登录到系统时，无论其所使用的帐号是否位于系统内部，系统都将生成一个事件。如果用户登录到本地帐号，且审核帐号登录事件设置为启用，用户登录过程将同时产生两个事件。

对于本指南中所定义的三种安全运行环境，如果这个选项均未设置为成功和失败，那么，当安全事故发生后，您将无法获得用以进行分析审核记录证据。 网管bitscn_com

表格 3.9：审核登录事件

网管联盟bitsCN@com

事件编号	事件描述
528	用户成功登录到计算机上。
529	登录失败：试图使用未知用户名或带有错误密码的已知用户名进行登录。
530	登录失败：试图在允许时间范围以外进行登录。
531	登录失败：试图通过禁用帐号进行登录。
532	登录失败：试图通过过期帐号进行登录。
533	登录失败：试图通过不允许在特定计算机上进行登录的用户帐号进行登录。
534	登录失败：用户试图通过不允许使用的密码类型进行登录。
535	登录失败：针对指定帐号的密码已经过期。
536	登录失败：网络登录服务未被激活。
537	登录失败：由于其它原因导致登录失败。说明：在某些情况下，登录失败原因可能无法确定。
538	针对某一用户的注销操作完成。
539	登录失败：登录帐号在登录时刻已被锁定。
540	用户成功登录到网络。
541	本地计算机与所列对等客户身份标识之间的主模式Internet密钥交换（IKE）身份验证操作已经完成（建立一条安全关联），或者快速模式已经建立一条数据通道。
542	数据通道被中断。
543	主模式被中断。 网管论坛bbs_bitsCN_com 说明：这种事件可能在安全关联时间限制到期（缺省值为8小时）、策略修改或对等客户中断时发生。
544	由于对等客户未能提供合法证书或签署未通过验证导致主模式身份验证失败。

545 网管联盟bitsCN@com	由于Kerberos失败或密码不合法导致主模式身份验证失败。 网管网www_bitscn_com
546 网管论坛bbs_bitsCN_com	由于对等客户发送非法了非法提议，IKE 安全关联建立没有成功。收到一个包含非法数据的数据包。 网管下载dl.bitscn.com
547 网管u家u.bitsCN.com	IKE握手过程中发生错误。 网管下载dl.bitscn.com
548 网管下载dl.bitscn.com	登录失败：来自信任域的安全标识符（SID）与客户端的帐号域SID不匹配。 网管u家u.bitsCN.com
549 网管论坛bbs_bitsCN_com	登录失败：在跨域身份验证过程中，所有同非信任名称空间相对应的SID均已被过滤掉。 网管网www.bitscn.com
550 网管bitscn_com	能够指示可能发生拒绝服务（DoS）攻击的通知消息。 网管bitscn_com
551 中国网管联盟bitsCN.com	用户发起注销操作。 网管u家u.bitsCN.com
552 网管下载dl.bitscn.com	用户在已经通过其他身份登录的情况下使用明确凭据成功登录到计算机上。 网管联盟bitsCN_com
682 中国网管论坛bbs.bitsCN.com	用户重新连接到一个已经断开连接的终端服务器会话上。 网管下载dl.bitscn.com
683 网管下载dl.bitscn.com	用户在没有注销的情况下与终端服务器会话断开连接。 说明：这种事件将在用户通过网络与终端服务器会话建立连接时产生。它将出现在终端服务器上。 网管bitscn_com

审核对象访问 网管bitscn_com

表格 3.10：设置 网管bitscn_com

成员服务器缺省取值 网管联盟bitsCN_com	旧有客户机 网管联盟bitsCN@com	企业客户机 网管下载dl.bitscn.com	高安全性 网管网www_bitscn_com
无审核 网管联盟bitsCN_com	成功 失败 网管bitscn_com	成功 失败 网管网www.bitscn.com	成功 失败 网管联盟bitsCN@com

如果仅仅依靠自身力量，这项设置将无法对任何事件进行审核。审核对象访问设置选项用于确定是否对访问具备特定SACL的对象——如文件、文件夹、注册表键、打印机等——的用户事件进行审核。 中国网管联盟bitsCN.com

SACL由访问控制项（ACE）组成。每个ACE包含三条信息： 网管下载dl.bitscn.com

•   需要进行审核的安全主体（用户、计算机或组）。
•   需要进行审核的特定访问类型，称作访问掩码。
•   用以指示审核失败访问事件、成功访问事件或同时审核这两种事件的标志。

如果将这个选项设置为成功，系统将在用户每次成功访问具备特定SACL的对象时生成一个审核事件。如果将这个选项设置为失败，系统将在用户每次尝试访问具备特定SACL的对象失败时生成一个审核事件。

当配置SACL时，企业应仅仅定义那些他们希望启用的操作。举例来说，您可能希望针对可执行文件启用记录并追加数据审核设置选项，以便对通常可能由计算机病毒、蠕虫程序或特洛伊木马程序导致的文件替换或修改操作进行跟踪。与此类此，您还可能希望对敏感文档的修改甚至读取操作进行跟踪。

网管下载dl.bitscn.com

因此，本指南建议您针对这里所定义的三种运行环境同时启用成功及失败审核取值。

表格 3.11：对象访问事件 中国网管论坛bbs.bitsCN.com

事件编号 网管bitscn_com	事件描述 中国网管联盟bitsCN.com
560 网管网www_bitscn_com	访问由一个已经存在的对象提供授权。 网管联盟bitsCN@com
562 网管论坛bbs_bitsCN_com	一个对象访问句柄被关闭。 中国网管联盟bitsCN.com
563 中国网管论坛bbs.bitsCN.com	试图打开并删除一个对象。 中国网管论坛bbs.bitsCN.com 说明：当您在Createfile()函数中指定FILE_DELETE_ON_CLOSE标志时，这种事件将被文件系统所使用。 中国网管联盟bitsCN.com
564 网管下载dl.bitscn.com	一个保护对象被删除。 网管联盟bitsCN_com
565 网管网www_bitscn_com	访问由一种已经存在的对象类型提供授权。 网管网www.bitscn.com
567 网管u家u.bitsCN.com	一种与句柄相关联的权限被使用。 网管下载dl.bitscn.com 说明：一个授予特定权限（读取、写入等）的句柄被创建。当使用这个句柄时，至多针对所用到的每种权限产生一次审核。 网管下载dl.bitscn.com
568 网管网www.bitscn.com	试图针对正在进行审核的文件创建硬连接。 网管u家u.bitscn@com
569 网管联盟bitsCN_com	身份验证管理器中的资源管理器试图创建客户端上下文。 网管下载dl.bitscn.com
570 网管网www_bitscn_com	客户端试图访问一个对象。 网管联盟bitsCN@com 说明：针对对象的每次操作尝试都将产生一个事件。 网管网www.bitscn.com
571 网管论坛bbs_bitsCN_com	客户端上下文被身份验证管理器应用程序删除。 网管bitscn_com
572 网管联盟bitsCN_com	管理员管理器初始化应用程序。 网管网www_bitscn_com
772 网管网www_bitscn_com	证书管理器拒绝了挂起的证书申请。 网管bitscn_com
773 网管u家u.bitscn@com	证书服务收到重新提交的证书申请。 中国网管联盟bitsCN.com
774 网管联盟bitsCN_com	证书服务吊销了证书。 网管bitscn_com
775 中国网管论坛bbs.bitsCN.com	证书服务收到发行证书吊销列表(CRL) 的请求。 网管bitscn_com
776 网管下载dl.bitscn.com	证书服务发行了证书吊销列表(CRL)。 网管u家u.bitsCN.com
777 网管u家u.bitsCN.com	更改了证书申请扩展。 网管联盟bitsCN@com
778 网管网www.bitscn.com	更改了多个证书申请属性。 网管网www.bitscn.com
779 网管论坛bbs_bitsCN_com	证书服务收到关机请求。 网管论坛bbs_bitsCN_com
780 网管u家u.bitscn@com	已开始证书服务备份。 网管论坛bbs_bitsCN_com
781 网管bitscn_com	已完成证书服务备份。 网管网www_bitscn_com
782 网管u家u.bitscn@com	已开始证书服务还原。 网管下载dl.bitscn.com
783 网管网www_bitscn_com	已完成证书服务还原。 网管网www_bitscn_com
784 网管下载dl.bitscn.com	证书服务已经开始。 中国网管联盟bitsCN.com
785 网管网www_bitscn_com	证书服务已经停止。 网管网www.bitscn.com
786 网管联盟bitsCN_com	证书服务更改的安全权限。 网管bitscn_com
787 网管bitscn_com	证书服务检索了存档密钥。 网管u家u.bitscn@com
788 网管联盟bitsCN@com	证书服务将证书导入数据库中。 网管bitscn_com
789 网管网www_bitscn_com	证书服务更改的审核筛选。 网管联盟bitsCN_com
790 中国网管联盟bitsCN.com	证书服务收到证书申请。 网管联盟bitsCN_com
791 网管网www.bitscn.com	证书服务批准了证书申请并颁发了证书。 网管联盟bitsCN_com
792 网管联盟bitsCN_com	证书服务拒绝证书申请。 网管联盟bitsCN_com
793 网管bitscn_com	证书服务将证书申请状态设为挂起。 中国网管联盟bitsCN.com
794 网管联盟bitsCN@com	证书服务更改的证书管理器设置 网管u家u.bitscn@com

795 网管u家u.bitsCN.com	证书服务更改的配置项。 中国网管联盟bitsCN.com
796 网管联盟bitsCN@com	证书服务更改属性。 网管下载dl.bitscn.com
797 网管联盟bitsCN_com	证书服务存档了密钥。 网管联盟bitsCN@com
798 中国网管论坛bbs.bitsCN.com	证书服务导入和存档了密钥。 中国网管联盟bitsCN.com
799 网管下载dl.bitscn.com	证书服务将证书发行机构（CA）证书发行到Active Directory。 网管u家u.bitsCN.com
800 网管网www_bitscn_com	从证书数据库删除一行或多行。 网管bitscn_com
801 网管联盟bitsCN@com	角色分隔被启用。 网管u家u.bitscn@com

审核策略更改

中国网管论坛bbs.bitsCN.com

表格 3.12：设置

成员服务器缺省取值 网管下载dl.bitscn.com	旧有客户机 网管bitscn_com	企业客户机 网管论坛bbs_bitsCN_com	高安全性 网管bitscn_com
无审核 中国网管论坛bbs.bitsCN.com	成功 网管论坛bbs_bitsCN_com	成功 网管网www.bitscn.com	成功 网管bitscn_com

  网管u家u.bitscn@com

审核策略更改设置选项用于确定是否对用户权限分配策略、审核策略或信任策略的每一次更改事件进行审核。其中包括针对审核策略本身所进行的更改。 中国网管联盟bitsCN.com

如果将这个选项设置为成功，系统将在每次成功更改用户权限分配策略、审核策略或信任策略时生成一条审核记录。如果将这个选项设置为失败，系统将在每次更改用户权限分配策略、审核策略或信任策略失败时生成一条审核记录。

网管u家u.bitsCN.com

建议设置方式将允许您查看攻击者试图提升的所有帐号权限——例如添加程序调试权限或文件与目录备份权限。策略更改审核同时还包含针对审核策略本身以及信任关系所进行的更改。 网管论坛bbs_bitsCN_com

说明：本指南建议将该设置取值指定为成功，其原因非常简单，取值为失败的设置选项将无法提供任何有意义的访问信息。目前，将该选项取值设置为失败将无法捕获任何有意义的事件。

表格 3.13：审核策略更改事件

事件编号 网管网www.bitscn.com	事件描述 中国网管联盟bitsCN.com
608 网管联盟bitsCN_com	用户权限已被分配。 网管bitscn_com
609 网管网www_bitscn_com	用户权限已被删除。 网管论坛bbs_bitsCN_com
610 中国网管论坛bbs.bitsCN.com	与另一个域的信任关系已被创建。 中国网管联盟bitsCN.com
611 网管下载dl.bitscn.com	与另一个域的信任关系已被删除。 中国网管联盟bitsCN.com
612 网管联盟bitsCN_com	审核策略已被更改。 网管u家u.bitscn@com
613 网管u家u.bitsCN.com	Internet协议安全性（IPSec）策略代理已经启动。 网管bitscn_com
614 网管网www_bitscn_com	IPSec策略代理已被禁用。 网管u家u.bitsCN.com
615 网管u家u.bitsCN.com	IPSec策略代理已被更改。 网管bitscn_com
616 中国网管联盟bitsCN.com	IPSec策略代理遇到一个潜在的严重问题。 中国网管论坛bbs.bitsCN.com
617 中国网管论坛bbs.bitsCN.com	Kerberos 5.0版策略已被更改。 网管网www.bitscn.com
618 网管联盟bitsCN_com	经过加密的数据恢复策略已更改。 网管网www_bitscn_com
620 网管网www.bitscn.com	与另一个域的信任关系已被修改。 中国网管联盟bitsCN.com
621 网管下载dl.bitscn.com	系统访问权限已被授予帐号。 中国网管联盟bitsCN.com
622 网管论坛bbs_bitsCN_com	系统访问权限已从帐号中删除。 网管网www.bitscn.com
623 网管网www_bitscn_com	审核策略以对等用户为单位进行设置。 网管下载dl.bitscn.com
625 网管论坛bbs_bitsCN_com	审核策略以对等用户为单位进行刷新。 网管论坛bbs_bitsCN_com
768 网管网www_bitscn_com	检测到一个森林中的名称空间元素与另一个森林中的名称空间元素发生冲突。 中国网管论坛bbs.bitsCN.com 说明：当一个森林中的名称空间元素与另一个森林中的名称空间元素发生重叠时，它将无法明确解析属于这两个名称空间元素的名称。这种重叠现象也称作冲突。并非针对每种记录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。 网管u家u.bitscn@com
769 网管网www.bitscn.com	添加了受信任的森林信息 说明：这种事件消息将在更新受信任的森林信息以及添加一条或多条记录时生成。针对每条添加、删除或修改的记录都将生成一条事件消息。如果在针对森林信任信息的单一更新操作中添加、删除或修改多条记录，生成的所有事件消息都将被分配一个相同且唯一标识符（称作操作编号）。这种方式使您能够判断出多条事件消息是由一次操作生成的。并非针对每种记录类型的参数均合法。举例来说，诸如DNS名称、NetBIOS名称和SID之类的字段对于“TopLevelName”类型的记录便是非法的。 中国网管联盟bitsCN.com
770 网管论坛bbs_bitsCN_com	删除了受信任的森林信息。 说明：查看编号为769的事件描述。 网管论坛bbs_bitsCN_com
771 网管u家u.bitscn@com	修改了受信任的森林信息。 说明：查看编号为769的事件描述。 中国网管论坛bbs.bitsCN.com
805 网管网www.bitscn.com	事件日志服务读取针对会话的安全日志配置信息。 网管网www.bitscn.com

网管网www_bitscn_com

审核特权使用 网管联盟bitsCN_com

表格 3.14：设置 网管网www.bitscn.com

成员服务器缺省取值 中国网管联盟bitsCN.com	旧有客户机 网管联盟bitsCN_com	企业客户机 网管下载dl.bitscn.com	高安全性 网管下载dl.bitscn.com
无审核 网管下载dl.bitscn.com	无审核 网管u家u.bitscn@com	失败 网管u家u.bitsCN.com	成功 失败 网管联盟bitsCN_com

审核特权使用设置选项用于确定是否针对每个行使用户权限的用户实例进行审核。如果将该选项取值设为成功，系统将在每次成功行使用户权限时生成一条审核记录，如果将该选项取值设为失败，系统将在每次行使用户权限失败时生成一条审核记录。 网管bitscn_com

当行使以下用户权限时，即便审核特权使用设置选项已被设置为成功或失败，系统也将不会生成任何审核记录。这是因为审核这些用户权限将在安全日志中产生大量事件，从而影响您的计算机性能。如需审核下列这些已被排除在外的权限，您必须在组策略中启用审核：审核备份与恢复权限使用情况安全选项。 网管u家u.bitscn@com

•   绕过遍历检查
•    程序调试
•    创建令牌对象
•    替换进程级令牌
•    生成安全审核
•    文件与目录备份
•    文件与目录恢复

启用权限审核特性将生成数量庞大的事件记录。出于这种原因，本指南中所定义的每种安全运行环境针对这些设置提出了不同的建议。用户权限行使失败表示出现常见网络问题，并且通常预示着试图突破安全防范措施。仅当存在特殊商业原因时，企业才需将审核特权使用选项设置为启用。

网管下载dl.bitscn.com

表格 3.15：权限使用事件

网管联盟bitsCN@com

事件编号 网管网www_bitscn_com	事件描述 中国网管论坛bbs.bitsCN.com
576 网管bitscn_com	特定权限已被添加到用户访问令牌中。 说明：这种事件将在用户登录时产生。 网管u家u.bitscn@com
577 中国网管联盟bitsCN.com	用户试图执行受到权限保护的系统服务操作。 网管论坛bbs_bitsCN_com
578 中国网管联盟bitsCN.com	在已经处于打开状态的受保护对象句柄上使用权限。 中国网管论坛bbs.bitsCN.com

审核过程跟踪 中国网管联盟bitsCN.com

表格 3.16：设置

成员服务器缺省取值 网管联盟bitsCN_com	旧有客户机 网管bitscn_com	企业客户机 中国网管论坛bbs.bitsCN.com	高安全性 网管bitscn_com
无审核 网管联盟bitsCN_com	无审核 网管u家u.bitscn@com	无审核 网管u家u.bitsCN.com	无审核 网管bitscn_com

  网管网www.bitscn.com

审核过程跟踪设置选项用于确定是否针对诸如程序激活、过程退出、句柄复制或间接对象访问之类的事件进行详细跟踪信息审核。如果将这个选项设置为成功，系统将在每次成功跟踪过程时生成一条审核记录。如果将这个选项设置为失败，系统将在每次过程跟踪失败时生成一条审核记录。 网管网www.bitscn.com

启用审核过程跟踪选项将产生大量事件，因此，通常情况下应将该选项设置为无审核。然而，通过提供过程启动和开始时间的详细日志记录，这些设置将在发生安全事故时为您提供大量有用信息。

表格 3.17：详细跟踪事件 网管论坛bbs_bitsCN_com

事件编号 网管u家u.bitsCN.com	事件描述 网管联盟bitsCN@com
592 网管网www_bitscn_com	已经创建新的过程。 网管bitscn_com
593 网管bitscn_com	已经退出某过程。 网管联盟bitsCN_com
594 网管u家u.bitscn@com	对象的句柄被重复 网管网www.bitscn.com
595 网管u家u.bitscn@com	已经取得对象的间接访问权。 网管联盟bitsCN_com
596 网管u家u.bitscn@com	数据保护主密钥备份。 说明：主密钥将供CryptProtectData和CryptUnprotectData例程以及加密文件系统（EFS）所使用。这种主密钥将在每次创建新增主密钥时予以备份。（缺省设置为90天。）密钥备份操作通常由域控制器执行。 网管bitscn_com
597 网管网www.bitscn.com	数据保护主密钥已由恢复服务器恢复完毕。 网管论坛bbs_bitsCN_com
598 网管u家u.bitsCN.com	审核数据已得到保护。 网管论坛bbs_bitsCN_com
599 网管联盟bitsCN@com	审核数据保护已取消。 网管网www_bitscn_com
600 网管联盟bitsCN@com	分派给进程一个主令牌。 中国网管论坛bbs.bitsCN.com
601 网管u家u.bitsCN.com	用户尝试安装服务。 网管网www_bitscn_com
602 中国网管联盟bitsCN.com	一个计划作业已被创建。 中国网管论坛bbs.bitsCN.com

审核系统事件 网管联盟bitsCN_com

表格 3.18：设置

网管联盟bitsCN@com

成员服务器缺省取值 网管u家u.bitsCN.com	旧有客户机 网管网www_bitscn_com	企业客户机 网管联盟bitsCN_com	高安全性 网管u家u.bitscn@com
无审核 网管联盟bitsCN@com	成功 网管网www.bitscn.com	成功 网管u家u.bitsCN.com	成功 网管论坛bbs_bitsCN_com

审核系统事件设置选项用于确定是否在用户重新启动或关闭计算机以及发生影响系统安全性或安全日志的事件时进行审核。如果将这个选项设置为成功，系统将系统事件执行成功时生成一条审核记录。如果将这个选项设置为失败，系统将在系统事件执行失败时生成一条审核记录。

网管下载dl.bitscn.com

以下表格包含了针对这一类别的某些最为有用的成功事件。

网管u家u.bitscn@com