應用後立即刪除 Windows Server 2019 審核
我有一個帶有 GPO 的 Windows Server 2019 域控制器,用於對登錄事件進行審核。RSOP 顯示它已應用,但是,如果我查看事件日誌,應用它的那一刻我可以看到它已被 SYSTEM 刪除。為什麼會這樣?如何強制對此事件進行審核?
我在這個問題中找到了答案,但連結已失效,為了將來的使用者,我將發布我找到的答案。
所以前幾天我發現了一個有趣的案例。
域控制器策略中的審核策略設置如下,並且沒有其他策略阻止或更改這些策略。
—審計目錄服務訪問成功GPO結果圖
策略更新後,記錄了以下事件:
—審核成功刪除事件摘要的圖像
此外, auditpol /get /category:* 只會在策略更新後顯示沒有審計:
— 顯示沒有審核的 cmd 提示的圖像
那麼,這個瘋狂的東西在哪裡被覆蓋了?它不在政策中,因為我們仔細檢查了所有這些政策是否有繼承等。
查看客戶端實際儲存審計策略的位置可能會給我們一個線索(C:\Windows\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv 和 C:\Windows\security)
但是那裡沒有什麼有趣的東西。所以,最後要看的地方是 sysvol 數據:
M:\SYSVOL\domain\Policies{CEF3323C-FD89-4C03-9410-18F7A4922E5A}\Machine\microsoft\windows nt\Audit
啊哈!下面是帶有標題的 .CSV 文件 - 但其中沒有配置數據!
–csv 文件的圖像
我們刪除了這個文件,現在審計策略正確地流向了 DC,並且生成了審計事件。
奇怪的。事實證明,他們已經通過 GPOBackup 應用了這些策略,並且可能在備份之前發生了一些事情。
無論如何-希望有一天它可以幫助某人
作者:史蒂夫·帕特里克(口水)
這是文章存檔的連結
謝謝史蒂夫,9 年後它幫助了我。