Windows
使用 Secedit 配置帳戶事件審核
我目前正在整理一些 PS 腳本,這些腳本可以在新的網路伺服器上執行,以便在將其投入生產之前對其進行加固。其中一個腳本將啟動 secedit 並導入我定義的策略。我的查詢圍繞
$$ Event Audit $$策略 inf 文件的部分。它包含要審計的各個方面的選項,例如:
[Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 0 AuditObjectAccess = 0 etc etc從這個角度來看,我似乎有兩個可能的值;1 或 0。我的問題是如何設置是否記錄每個事件的成功、失敗或成功和失敗?任何指針將不勝感激。
從那以後,我玩了一會兒,找到了答案。事件審計有 4 個可能的值:
- 0 = 無審計
- 1 = 成功
- 2 = 失敗
- 3 = 成功,失敗
我希望這一天能為某人提供一個快速的答案!
舊的“事件審核策略”設置實際上有五個值(根據MSDN)
0= 無1= 只有成功2= 只有失敗3= 成功與失敗4= 無但是,如果該
[Registry Values]部分包含此條目;
MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy 4,1值
4,1表示“高級審核”正在使用(4=DWORD,1=啟用),並且通過顯示的所有舊“事件審核策略”設置SECedit.exe將設置為0.可以通過執行附加命令來查詢“高級審計設置”。
auditpol.exe /backup /file:C:\AuditPolicy.CSV