Windows Server 2008 还可以在安全事件日志中捕捉特定类型的新值和旧值。在以前版本的 Windows 中,审核子系统只记录变更过的 Active Directory® 对象属性名称或注册表值,而不记录属性的以前和当前值。此新功能适用于 Active Directory Domain Services、Active Directory Lightweight Directory Services 和 Windows 注册表。通过在“注册表”或“目录服务变更”子类别上启用“审核成功”或“审核失败”并设置关联的 SACL,详细事件将出现在这些对象的操作事件日志中。这可以使用以下 auditpol 命令来执行:
| auditpol /set /subcategory:"Registry" /success:enable auditpol /set /subcategory:"Directory Service Changes" /success:enable |
图 3 注册表变更前后
此功能在尝试跟踪 Active Directory 对象的变更时尤为有用。对于“目录服务变更”,这些变更出现在一对 Event ID 5136 事件中,如图 4 所示。每个事件在事件正文中都有目录服务“对象”、“属性”和“操作”。对于针对包含现有数据的属性的变更,可看到两个操作:“值已删除”和“值已添加”。对于未填充的属性,在将数据写入到该属性时只能看到“值已添加”操作。例如,当针对某个用户对象(如 telephoneNumber)的属性成功执行了修改操作后,Active Directory 会在详细的事件日志条目中记录属性的以前和当前值。
