Усовершенствованная Политика аудита, не применяемая на 2 012 R2
Я настроил несколько avanced настроек политики аудита под:
Computer Configuration => Policies => Windows Settings => Security Settings =>
Advanced Audit policy Configuration => Audit Policies => ...
Также следующая установка установлена на "Включенный":
Computer Configuration => Policies => Windows Settings => Security Settings =>
Local Policies => Security Options => Audit: Force audit policy subcategory settings
(Windows Vista or later) to override audit policy category settings.
Однако ни одна из усовершенствованных контрольных настроек не становится прикладной. Выполнение
auditpol /get /category:*
шоу весь набор опций к "Никакому Аудиту". Также нет ни одного из набора политики аудита устаревшего.
То, что удивляет меня, то, что ни gpresult, ни rsop.msc не разоблачают категорию "Advanced audit policy". Что я делаю неправильно здесь? У меня заканчиваются идеи. Заранее спасибо за Ваш вход!
[1. Приложение]
Другие настройки, настроенные в том же объекте групповой политики, становятся прикладными. Таким образом, распространенные ошибки могут быть исключены.
Первоначально GPO содержит настройки MSS
При создании нового, пустого GPO и только установке усовершенствованных контрольных элементов конфигурации, заставьте их появиться на целевом сервере (сверился с auditpol). Таким образом, должно быть что-то не так с самим GPO.
[2. Приложение]
- Сравнение обоих {файлы GUID }\\Machine\Microsoft\Windows NT\Audit\Audit.csv друг с другом показывает следующее различие. Отметьте двойное происшествие "аудита".
Не рабочая версия audit.csv:
,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3
Рабочая версия audit.csv:
,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3
Что продолжается здесь? Какие-либо неопровержимые доводы для не редактирования этого файла вручную?
Я решил проблему следующим образом:
- Установите каждый пункт расширенной конфигурации аудита на "Не сконфигурирован"
- Запустите gpupdate / Force на соответствующих системах
- Переустановите всю расширенную конфигурацию аудита в соответствии с вашими требованиями
Я создал неработающий GPO из шаблона, в котором уже были установлены расширенные настройки аудита. Я думаю, что было внутреннее несоответствие GUID...
Я понимаю, что это более старый вопрос, и что вы решили проблему другим способом, однако причина, по которой он изначально не работал, была связана с «Аудит: принудительные настройки подкатегории политики аудита» включен. Как объясняется в этой статье на Technet :
Ожидается отсутствие аудита доступа к объектам: как только вы начнете применяя расширенную политику конфигурации аудита, устаревшие политики будут полностью игнорируется. Единственный способ запустить компьютер Win7 / R2 использование устаревшей политики - установка политики безопасности «Аудит: принудительный аудит. параметры подкатегории политики (Windows Vista или новее) для отмены аудита параметры категории политики »в положение ОТКЛЮЧЕНО. Это отключает использование более новый тип политики. Затем вы должны очистить существующую расширенную политику с машин (auditpol.pol / clear, имея пустой файл audit.csv, и т.д). Система не оптимальна, но вы никогда не собирались вернуться.
Старая должность, но я только что пережил и проработал ту же самую проблему и не добился успеха с принятым решением.
@matze заставила меня задуматься о бэкэнде процесса "Политика аудита". Я нашел следующую статью, в которой процесс изложен в замечательных деталях (я настоятельно рекомендую прочитать): https://blogs.technet.microsoft.com/askds/2011/03/11/getting-the-effective-audit-policy-in-windows-7-and-2008-r2/
В обзоре я обнаружил, что %systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit. csv файл обновлялся правильно, но в файле %systemroot%\security\audit\audit.csv была отметка времени давности.
Глядя на свойства, c:\windows\security\audit\audit.csv было установлено значение Read-Only, что, очевидно, мешало ОС обновить файл.
Для разрешения я сделал следующее:
- Я удалил атрибут 'только для чтения'
- Использовал GPEdit для экспорта настроек расширенной политики аудита и вручную установил все, что не было настроено.
- Использовал
Auditpol /backup /file:для создания резервной копии Auditpol - Использовал
auditpol /clearдля очистки Auditpol Gpupdate /forceauditpol /get /category: *, чтобы убедиться, что все было очищено- Повторный импорт расширенных настроек политики аудита в GPEdit
Gpupdate /forceauditpol /get /category:*, чтобы убедиться, что все было настроено правильно снова
Чтобы подтвердить исправление, я внес изменения в настройки в GPEDIT, gpupdate снова, auditpol /get снова. Изменение появилось правильно
.Я столкнулся с той же проблемой. Оказалось, что это вопрос порядка действий. Я установил все расширенные параметры журнала и , затем установил Аудит: принудительно установить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита в значение Включено. В то время как другие настройки явно применялись к затронутой тестовой системе, настройки ведения журнала - нет. Их не было в сводке настроек, хотя они появлялись в реальном редакторе.
Я был озадачен этим, пока не проработал процесс и XML-файл (который был почти пуст). Настройки добавляются в файл по мере их создания , если что-то еще не отменяет настройку, например, главную настройку, которая требуется для их включения. Если этот главный параметр находится в другой части объекта групповой политики, процесс записи при изменении может не увидеть всю политику.
Решение: вернитесь к расширенным параметрам, отключите один параметр и нажмите OK, затем вернитесь и снова -включить это. После этого отобразятся все настройки ведения журнала. Закройте редактор. GPO перейдет к затронутым системам при следующем обновлении и вступит в силу при следующей перезагрузке.