Security
高級審核策略未在 2012 R2 上應用
我在下面配置了幾個高級審計策略設置:
Computer Configuration => Policies => Windows Settings => Security Settings => Advanced Audit policy Configuration => Audit Policies => ...
以下設置也設置為“已啟用”:
Computer Configuration => Policies => Windows Settings => Security Settings => Local Policies => Security Options => Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
但是,沒有應用任何高級審核設置。跑步
auditpol /get /category:*
顯示所有設置為“無審核”的選項。此外,沒有任何已棄用的審計策略集。
令我驚訝的是,gpresult和rsop.msc都沒有出現在“高級審計策略”類別中。我在這裡做錯了什麼?我的想法不多了。提前感謝您的意見!
$$ 1. Addendum $$
- 正在應用同一組策略對像中配置的其他設置。因此可以排除常見的陷阱。
- 最初的 GPO 包含 MSS 設置
- 創建一個新的空 GPO 並僅設置高級審計配置項,使它們出現在目標伺服器上(使用 auditpol 進行檢查)。所以GPO本身一定有問題。
$$ 2. Addendum $$
- 將兩個 {GUID}\Machine\Microsoft\Windows NT\Audit\Audit.csv 文件相互比較會發現以下差異。注意“審計”的雙重出現。
audit.csv 的非工作版本:
,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3
audit.csv 的工作版本:
,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3
這裡發生了什麼?有什麼令人信服的理由不手動編輯此文件?
我通過以下程序解決了它:
- 將每個高級審計配置項設置為“未配置”
- 在相關係統上執行 gpupdate /force
- 根據您的要求重新設置所有高級審計配置
我從已經設置了高級審核設置的模板創建了失敗的 GPO。我猜 GUID 存在內部不匹配…
我意識到這是一個較老的問題,並且您以不同的方式解決了該問題,但是,它最初無法正常工作的原因是由於啟用了“審核:強制審核策略子類別設置”。正如Technet 上的這篇文章所述:
預計缺少對象訪問審計:一旦您開始應用高級審計配置策略,舊策略將被完全忽略。讓 Win7/R2 電腦開始使用舊策略的唯一方法是將安全策略“審核:強制審核策略子類別設置(Windows Vista 或更高版本)以覆蓋審核策略類別設置”設置為禁用。這將禁止使用較新的策略類型。然後,您必須從機器中清除現有的高級策略(auditpol.pol /clear、具有空白的 audit.csv 文件等)。該系統不是最佳的,但意圖永遠不會讓您返回。