配置审核策略

审核策略就是Windows系统中关于审核数据的开关选项。

要使ADAP能够对域控制器、文件服务器、成员服务器等进行有效的审核，必须在相应的系统中配置好审核策略。

它们包括：

1. 在需要审核的计算机上配置审核策略。
2. 对审核对象，开启相应的审核系统访问控制列表(SACL)。

 

策略应用的对象

要审核活动目录 - 必须配置默认的域控制器策略。 要审核文件服务器 -必须在相应的 文件服务器上配置审核策略。 要审核成员服务器， - 必须对相应的 成员服务器配置审核策略。

 

默认域控制器策略:

若需要审计域登录活动和帐户管理活动，必须使用组策略插件，启用"默认域控制器策略"的"本地策略/审计策略"下"帐户登录"和"帐户管理"的“成功/失败”审计。 对于GPO和OU审计，请在“默认域控制器策略”中配置目录服务访问“成功”审计。 对于审计域控制器的本地登录/注销，需要配置“审计登录事件”策略设置为“成功”和“失败”。

 

默认域策略:

"文件/成员服务器登录/注销活动" 需要配置 "默认域策略" 　

若审计成员服务器的登录/注销活动，必须使用组策略插件，启用默认域控制器策略的本地策略/审计策略下的成功/失败“审计登录事件”。

 

高级审核策略

通常情况下，如果未配置任何审核设置，将很难甚至不可能确定出现安全事件期间发生的情况。但是，如果因为配置了审核策略而导致有太多的授权活动生成事件，则安全事件日志将被无用的数据填满。同时对大量对象配置审核也会对整个系统性能产生影响。因此， 对于Windows Server 2008/Windows 7及以上的系统，可以配置高级审核策略，来精确定位要审核的事件日志。从而避免不必要的日志生成。

如何配置审核策略？

1. 域控制器的审核策略配置
2. 文件服务器的审核策略配置
3. 成员服务器的审核策略配置
4. 工作站的审核策略配置

如何配置高级审核策略？

1. 域控制器的高级审核配置
2. 文件服务器的高级审核配置
3. 成员服务器的高级审核配置
4. 工作站的高级审核配置