Windows审核可以用于整个系统吗？

Question

我正在使用Windows系统创建一个高交互度的蜜罐，我需要对蜜罐上发生的每一件小事进行审计。

我知道这可以在单个对象(如文件或文件夹)上执行，但我需要对整个系统进行审计。

那么，我是为系统上的每个目录创建一个审计，还是有一种方法对整个系统进行审计？

Answer 1

您需要启用:高级审核策略>全局对象访问审核>文件系统。

然而，这将产生相当大的噪音，并没有得到“每一个小东西”。您可能需要重新考虑审计所有文件系统活动，而不是有选择地审计某些文件夹，并将Windows审核与Microsoft Sysinternals相结合：

https://technet.microsoft.com/en-us/sysinternals/sysmon

Sysmon提供：

• 对不包括在Windows审计中的事件的审核(DriverLoaded、命名管道、RawAccessRead、NetworkConnection、CreateRemoteThread、ProcessAccess、RegistryKey/Value create/modify/delete)。
• 控制/过滤的粒度更细。
• 用于法医分析的更多详细信息，例如流程guid和父流程guid，以及更改的某些数据的值。

如何从回应到用Sysinternals来狩猎

https://onedrive.live.com/view.aspx?resid=D026B4699190F1E6!2843&ithint=file%2cpptx&app=PowerPoint&authkey=!AMvCRTKB_V1J5ow

审计文件系统全局对象访问

此策略设置允许您对计算机文件系统中的每个文件和文件夹应用全面的对象访问审核策略。配置此设置还允许演示计算机上的每个文件和文件夹都由从中央位置管理的审核策略监视。

此设置将全局系统访问控制列表(SACL)应用于每个文件和文件夹。如果在计算机上配置了文件或文件夹SACL和全局SACL，则通过将文件或文件夹SACL与全局SACL组合而得到有效SACL。这意味着，当活动与文件或文件夹SACL或全局SACL匹配时，将生成审计事件。

若要配置全局对象访问策略，必须选择“定义此策略设置”并单击“配置”以向全局SACL添加至少一个用户或组。还必须在“高级审核策略配置\系统审核策略\对象访问”下启用“审核文件系统”设置。

数量:取决于有效的SACL和用户活动的水平。