什么是windows审计？

Windows审核的一个关键组件是Windows更改审核，有时也称为文件完整性监控，它需要在系统内检测更改，尤其是Active Directory、Exchange、SQL和文件系统。

通过分析Windows安全和系统事件，Windows审核可以确定改进安全管理并减少未经授权访问和不需要对系统进行更改的步骤。全面的Windows审核帮助组织遵守数据保护要求，及早发现潜在威胁（例如不需要的更改），并帮助减少数据泄露的风险。通常，Windows审核和安全工具还允许将更改还原到早期，更理想的配置。

Windows审核策略
Windows审核策略定义要记录的特定事件以及每个这些事件的特定行为记录什么。例如，您的审核策略可能确定您要记录对Windows计算机的任何远程访问，但不需要对来自您公司内的某人的登录尝试进行审核。

Windows审核可以生成大量数据，因此务必首先详细说明您需要收集的关键信息，以做出明智的安全策略决策。

通常，您希望将审核策略集中在可能对Windows环境造成风险的业务行为上，例如导致操作功能障碍的错误配置，或导致向用户提供过度特权访问的更改，这会增加风险。每天都会发生许多合法的Windows事件，出于合法访问和业务原因，消除误报非常重要。

可以审核的Windows事件类型

您可以记录进行审核的事件包括：

1、登录和注销事件：尝试访问和登录特定设备，无论这些尝试是否成功。

2、帐户管理：Windows机器上的用户配置文件和帐户的更改。

3、Active Directory：对Active Directory配置或用户配置文件的更改。

4、服务器访问和登录：从远程计算机到Windows服务器的客户端服务器访问。

5、对象访问：Windows机器访问网络上的特定设备或对象时，包括文件、文件夹或打印机。

6、注册表访问：对Windows机器的注册表的更改。注册表键通常在应用程序安装、更改或删除时更新。

7、策略更改：访问权限或其他IT策略的修改。

8、系统事件：启动和关闭机器以及其他系统状态更新。

这仅仅是可以监控和捕获的所有领域的取样。其中一些审核领域在特殊情况下很有用，例如调试软件或了解如何访问特定设备。其他领域，如Active Directory审核对于保护整体Windows环境更为重要。

您的组织需要进行审核

最终，您选择记录、分析和审核的Windows事件类型取决于您所在组织的优先事项。通常，过多的安全数据总比过少要好。先“过度记录”，然后深入挖掘所需的具体数据，比出现问题后发现没有捕获正确的事件来识别和解决问题要容易得多。

考虑您所在组织管理的数据类型、您的整体风险管理情况、您可用的资源以及您用于审计和分析的软件。请记住，在分析信息时，您可以随时调整所捕获的内容，以获得适当组合的记录事件。

两个重要领域——Active Directory和Windows策略审核

Active Directory通常用于提供基于用户身份访问特定应用程序、文件夹和文件的方式。由于它是一个集中式目录，在企业的用户身份验证和授权中广泛使用，因此Active Directory经常成为网络攻击者的主要目标。因此，监控和审核Active Directory更改应被视为Active Directory安全的重要组成部分。

另一个要跟踪的领域是Windows策略更改。组策略对象用于管理Windows网络上的各种访问和管理权限，因此对更改的监督对于消除潜在的访问和特权滥用以及查明任何可疑的行为体和行为至关重要。

Windows审核技术

虽然Windows有一些本地的审核功能，但它们不能满足大多数组织的需求。在日志分析和回滚更改方面，Windows本机审核功能的力量不足。另一方面，企业级Windows审核解决方案可以提供实时更改审核/文件完整性监控、简化的日志分析、精确恢复、高级警报以及集中报告，以及许多其他功能，使管理变得容易得多-尤其是在关注和扭转变化方面，或为审计人员提供快速、清晰的信息时。