Security

高級審核策略未在 2012 R2 上應用

  • March 2, 2022

我在下面配置了幾個高級審計策略設置:

Computer Configuration => Policies => Windows Settings => Security Settings => 
Advanced Audit policy Configuration => Audit Policies => ...

以下設置也設置為“已啟用”:

Computer Configuration => Policies => Windows Settings => Security Settings =>
Local Policies => Security Options => Audit: Force audit policy subcategory settings
(Windows Vista or later) to override audit policy category settings.

但是,沒有應用任何高級審核設置。跑步

auditpol /get /category:* 

顯示所有設置為“無審核”的選項。此外,沒有任何已棄用的審計策略集。

令我驚訝的是,gpresultrsop.msc都沒有出現在“高級審計策略”類別中。我在這裡做錯了什麼?我的想法不多了。提前感謝您的意見!

$$ 1. Addendum $$

  1. 正在應用同一組策略對像中配置的其他設置。因此可以排除常見的陷阱。
  2. 最初的 GPO 包含 MSS 設置
  3. 創建一個新的空 GPO 並僅設置高級審計配置項,使它們出現在目標伺服器上(使用 auditpol 進行檢查)。所以GPO本身一定有問題。

$$ 2. Addendum $$

  1. 將兩個 {GUID}\Machine\Microsoft\Windows NT\Audit\Audit.csv 文件相互比較會發現以下差異。注意“審計”的雙重出現。

audit.csv 的非工作版本:

,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3

audit.csv 的工作版本:

,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3

這裡發生了什麼?有什麼令人信服的理由不手動編輯此文件?

我通過以下程序解決了它:

  • 將每個高級審計配置項設置為“未配置”
  • 在相關係統上執行 gpupdate /force
  • 根據您的要求重新設置所有高級審計配置

我從已經設置了高級審核設置的模板創建了失敗的 GPO。我猜 GUID 存在內部不匹配…

我意識到這是一個較老的問題,並且您以不同的方式解決了該問題,但是,它最初無法正常工作的原因是由於啟用了“審核:強制審核策略子類別設置”。正如Technet 上的這篇文章所述

預計缺少對象訪問審計:一旦您開始應用高級審計配置策略,舊策略將被完全忽略。讓 Win7/R2 電腦開始使用舊策略的唯一方法是將安全策略“審核:強制審核策略子類別設置(Windows Vista 或更高版本)以覆蓋審核策略類別設置”設置為禁用。這將禁止使用較新的策略類型。然後,您必須從機器中清除現有的高級策略(auditpol.pol /clear、具有空白的 audit.csv 文件等)。該系統不是最佳的,但意圖永遠不會讓您返回。

引用自:https://serverfault.com/questions/617713