本篇文章主要说一说windows系统中安全审计的控制点的相关内容和理解。

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

d)应对审计进程进行保护，防止未经授权的中断。

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

对于windows而言，在服务器管理器或事件查看器或计算机管理中都可以查看到审计日志的具体内容以及一些策略：

分别可以在运行框中输入CompMgmtLauncher、eventvwr、compmgmt.msc打开。

按照测评要求里的内容，该测评项存在三个递进的要求：

首先默认状况下，日志审计功能都是开启的，因为Windows Event Log服务器都是默认开启的，而且一般情况下也关不掉(所以一般情况下开启安全审计功能这个要求是符合的)：

不过网上说将日志文件夹的权限全部去掉，系统也无法记录日志，一般没人这么干：

对于第2个要求，也就是是否覆盖到每个用户，在默认状况下是否符合就不好说的。

至于第3个要求，对重要的用户行为和重要安全事件进行审计，肯定就不符合了，因为默认的审核策略都是未开启：

对于审核策略中应该开启哪些策略，初级教程说得挺明白的，我就直接截图了：