Windows 文件系统审计常见技术问题：如何配置SACL实现文件访问审计？

一、理解SACL与Windows审计机制

在Windows系统中，SACL（System Access Control List）是用于定义哪些用户或组的操作需要被记录到安全日志中的访问控制列表。它与DACL不同，DACL用于控制访问权限，而SACL用于定义审计策略。

• SACL的作用： 审计特定账户对对象的访问行为，如读取、写入、删除等。
• 事件日志位置： 通常记录在“事件查看器” → “Windows日志” → “安全”下。
• 依赖条件： 必须启用相应的对象访问审计策略。

二、启用对象访问审计策略

要使SACL生效，必须首先启用系统的对象访问审计策略。可以通过本地安全策略或组策略进行配置。

1. 打开“本地安全策略”：运行secpol.msc
2. 导航至：安全设置 → 本地策略 → 审核策略
3. 启用以下策略：
   • 审核对象访问 - 成功
   • 审核对象访问 - 失败

如果使用域环境，则应通过组策略配置：

1. 打开组策略管理编辑器 (GPMC)
2. 导航至：计算机配置 → 策略 → Windows 设置 → 安全设置 → 本地策略 → 审核策略
3. 启用“审核对象访问”成功和失败事件

三、为文件或文件夹配置SACL

配置SACL需修改目标文件或文件夹的安全属性。步骤如下：

1. 右键点击目标文件或文件夹，选择“属性”
2. 切换到“安全”选项卡，点击“高级”
3. 在“高级安全设置”窗口中点击“更改”（位于“系统访问控制列表(SACL)”旁边）
4. 添加需要审计的用户或组，并选择要审计的操作类型，例如：
   • 读取数据
   • 写入数据
   • 删除子项
   • 修改权限

四、验证审计日志是否生成

一旦SACL配置完成，需验证事件日志是否正常记录相关访问行为。

1. 打开“事件查看器”
2. 导航至：Windows日志 → 安全
3. 查找事件ID：
   • 4663 - 对象访问审计事件
   • 4656 - 对象句柄请求（常伴随4663）

示例事件4663的内容片段：

Subject:
    Security ID: DOMAIN\Administrator
    Account Name: Administrator

Object:
    Object Server: Security
    Object Type: File
    Object Name: C:\SensitiveData\secret.txt
    Handle ID: 0x1234
    Operation Type: QueryAttributesFile
    Accesses: ReadData (or WriteData, Delete, etc.)

五、常见问题排查流程图