windows开启安全审计

977

在 Windows 操作系统中，安全审计功能可以帮助你记录并监控系统的安全事件，如用户登录、文件访问、对象的权限修改等。开启安全审计可以提高对潜在安全威胁的监控能力。

以下是如何在 Windows 系统中启用和配置安全审计的步骤：

在 Windows 中，审计策略是通过 组策略（Group Policy） 或 本地安全策略 来配置的。

打开本地安全策略管理器：
- 按 Win + R 打开运行对话框，输入 secpol.msc，然后按 Enter 键。这将打开 本地安全策略 窗口。
配置审计策略：
- 在本地安全策略中，导航到 高级审核策略配置 > 对象访问 > 审计日志和系统日志，然后右键点击并选择 启用审计。

你也可以通过 组策略 配置启用审计功能：

打开组策略管理编辑器：
- 按 Win + R，输入 gpedit.msc，然后按 Enter 键打开组策略编辑器。
导航到审核策略设置：
- 进入 计算机配置 > Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略。
启用审核策略：
- 在高级审核策略配置中，你可以选择不同的策略来记录系统活动，例如：
  - 帐户登录事件：记录用户登录和注销事件。
  - 帐户管理：记录创建、删除或修改用户帐户等事件。
  - 目录服务访问：记录对 Active Directory 的访问事件（适用于域环境）。
  - 文件系统访问：记录文件和文件夹的访问和修改。
  - 对象访问：记录对象的访问（例如：打印机、共享文件夹、注册表等）。
选择所需的审计策略，并将它们设置为“成功”或“失败”。

若你需要对特定的文件或文件夹进行访问审计，可以按以下步骤配置：

Windows 会将所有审计事件记录到 事件查看器 中。你可以通过以下步骤查看这些日志：

打开事件查看器：
- 按 Win + R 打开运行对话框，输入 eventvwr.msc，然后按 Enter 键。
导航到审计日志：
- 在事件查看器左侧面板中，展开 Windows 日志，然后选择安全。
- 在这里，你将看到所有与安全相关的事件。每个事件都会有一个唯一的 事件 ID，你可以根据这些 ID 找到与特定安全事件相关的详细信息。
常见的审计事件 ID：
- 事件 ID 4624：用户成功登录。
- 事件 ID 4625：用户登录失败。
- 事件 ID 4720：创建用户帐户。
- 事件 ID 4732：将用户添加到安全组。
过滤和搜索日志：
- 你可以使用事件查看器的“筛选当前日志”功能，通过特定的事件 ID、日期范围、关键词等来筛选和查看日志。

Windows 默认会将安全审计日志保存到 C:\Windows\System32\winevt\Logs\Security.evtx 文件中。你可以通过事件查看器设置日志文件的大小和保存策略。

除了图形界面的配置，Windows 还支持通过 PowerShell 脚本启用和管理审计策略。你可以使用以下 PowerShell 命令来配置审计：

查看当前的审核策略：

powershell
Get-AuditPolicy -Category *

设置某个类别的审计策略，例如启用帐户登录事件的审计：

powershell
Set-AuditPolicy -Category Logon/Logoff -Success Enable -Failure Enable

如果你需要集中管理多个 Windows 系统的审计日志，可以配置 Windows Event Forwarding (WEF)，将审计日志发送到集中管理的服务器或 SIEM（安全信息与事件管理）系统。这可以帮助你集中监控多个系统的安全事件。

通过在 Windows 系统中启用安全审计，可以有效地跟踪用户活动、文件访问、系统配置变更等关键安全事件。配置审计策略后，建议定期查看安全日志，并根据实际需求进行调整。

「喜欢这篇文章，您的关注和赞赏是给作者最好的鼓励」

关注作者