Windows

使用 Secedit 配置帳戶事件審核

  • April 27, 2017

我目前正在整理一些 PS 腳本,這些腳本可以在新的網路伺服器上執行,以便在將其投入生產之前對其進行加固。其中一個腳本將啟動 secedit 並導入我定義的策略。我的查詢圍繞

$$ Event Audit $$策略 inf 文件的部分。它包含要審計的各個方面的選項,例如:

[Event Audit]
AuditSystemEvents = 0
AuditLogonEvents = 0
AuditObjectAccess = 0
etc etc

從這個角度來看,我似乎有兩個可能的值;1 或 0。我的問題是如何設置是否記錄每個事件的成功、失敗或成功和失敗?任何指針將不勝感激。

從那以後,我玩了一會兒,找到了答案。事件審計有 4 個可能的值:

  • 0 = 無審計
  • 1 = 成功
  • 2 = 失敗
  • 3 = 成功,失敗

我希望這一天能為某人提供一個快速的答案!

舊的“事件審核策略”設置實際上有五個值(根據MSDN

  • 0= 無
  • 1= 只有成功
  • 2= 只有失敗
  • 3= 成功與失敗
  • 4= 無

但是,如果該[Registry Values]部分包含此條目;

MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy 4,1

4,1表示“高級審核”正在使用(4=DWORD,1=啟用),並且通過顯示的所有舊“事件審核策略”設置SECedit.exe將設置為0.

可以通過執行附加命令來查詢“高級審計設置”。

auditpol.exe /backup /file:C:\AuditPolicy.CSV

引用自:https://serverfault.com/questions/662654