Windows: Как узнать, откуда берутся политики, перечисленные в auditpol?
Я начну с этого: Я - Linux админ. Windows для меня - это то же самое, что я веду британский автомобиль - в основном работает так же, но рулевое колесо, кнопки и рычаги расположены не в том месте, а надписи написаны забавно.
У меня есть сервер, который является членом домена. Применяются GPO из домена. Достаточно нормально.
Когда я запускаю auditpol на этом сервере, я вижу установленные политики, которые не установлены в secpol.msc и не установлены в GPO домена. Я также сравнил список примененных GPO из запущенного gpresult и обнаружил, что применяются только три GPO. (Этот список из 3 объектов групповой политики был тем списком, который я ожидал увидеть, так что это было хорошо.)
Пример:
Запуск на рядовом сервере:
PS C:\Windows\system32> .\auditpol.exe /get /category:\*
System audit policy
Category/Subcategory Setting
System
Security System Extension No Auditing
System Integrity Success and Failure
IPsec Driver No Auditing
Other System Events Success and Failure
Security State Change Success
Logon/Logoff
Logon Success and Failure
...(truncated)...
И
PS C:\Windows\system32> .\gpresult.exe /v /r /scope computer
...(truncated)...
RSOP data for CORP\fflintstone on MGMTWIN01A : Logging Mode
-----------------------------------------------------------
OS Configuration: Member Server
OS Version: 10.0.14393
Site Name: XYZ
Roaming Profile: N/A
Local Profile: C:\Users\fflintstone
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
CN=MGMTWIN01A,OU=Windows,OU=Servers,DC=corp,DC=example,DC=com
Last time Group Policy was applied: 11/2/2018 at 2:13:01 PM
Group Policy was applied from: corpdc01a.corp.example.com
Group Policy slow link threshold: 500 kbps
Domain Name: CORP
Domain Type: Windows 2008 or later
...(truncated)...
Applied Group Policy Objects
-----------------------------
Default Domain Policy (CORP)
Windows Allow RDP Access
Windows Startup Script
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
...(truncated)...
Три объекта групповой политики, перечисленные gpreseult как «применены» «все не содержат каких-либо параметров, перечисленных как« Успех »или« Успех и неудача »в моем примере фрагмента auditpol.
Где они устанавливаются? Как я могу это отследить?
Чистая установка Windows 2016 включает встроенную политику аудита со следующими настройками по умолчанию:
System
Security System Extension No Auditing
System Integrity Success and Failure
IPsec Driver No Auditing
Other System Events Success and Failure
Security State Change Success
Logon/Logoff
Logon Success and Failure
Logoff Success
Account Lockout Success
IPsec Main Mode No Auditing
IPsec Quick Mode No Auditing
IPsec Extended Mode No Auditing
Special Logon Success
Other Logon/Logoff Events No Auditing
Network Policy Server Success and Failure
User / Device Claims No Auditing
Group Membership No Auditing
Object Access
File System No Auditing
Registry No Auditing
Kernel Object No Auditing
SAM No Auditing
Certification Services No Auditing
Application Generated No Auditing
Handle Manipulation No Auditing
File Share No Auditing
Filtering Platform Packet Drop No Auditing
Filtering Platform Connection No Auditing
Other Object Access Events No Auditing
Detailed File Share No Auditing
Removable Storage No Auditing
Central Policy Staging No Auditing
Privilege Use
Non Sensitive Privilege Use No Auditing
Other Privilege Use Events No Auditing
Sensitive Privilege Use No Auditing
Detailed Tracking
Process Creation No Auditing
Process Termination No Auditing
DPAPI Activity No Auditing
RPC Events No Auditing
Plug and Play Events No Auditing
Token Right Adjusted Events No Auditing
Policy Change
Audit Policy Change Success
Authentication Policy Change Success
Authorization Policy Change No Auditing
MPSSVC Rule-Level Policy Change No Auditing
Filtering Platform Policy Change No Auditing
Other Policy Change Events No Auditing
Account Management
Computer Account Management Success
Security Group Management Success
Distribution Group Management No Auditing
Application Group Management No Auditing
Other Account Management Events No Auditing
User Account Management Success
DS Access
Directory Service Access Success
Directory Service Changes No Auditing
Directory Service Replication No Auditing
Detailed Directory Service Replication No Auditing
Account Logon
Kerberos Service Ticket Operations Success
Other Account Logon Events No Auditing
Kerberos Authentication Service Success
Credential Validation Success
При отсутствии какой-либо расширенной групповой политики аудита (локальной или доменной) вы можете изменить встроенную политику с помощью команды auditpol / set . Насколько я понимаю, auditpol также является единственным способом просмотра встроенной политики.
Когда и если какая-либо расширенная групповая политика аудита применяется к серверу, встроенная в политике аудита отбрасывается, и все параметры аудита отключены, кроме тех, которые были явно включены через групповую политику. [Мне не ясно, при каких обстоятельствах, если таковые имеются, этот процесс обратим; Я все еще изучаю.] Вы все еще можете временно изменить настройки аудита, используя auditpol / set и / или локальную устаревшую политику аудита,но любые такие изменения будут отменены при следующей обработке групповой политики.
Судя по всему, ваш сервер все еще использует политику аудита по умолчанию. Итак, политики, которые вы видите, встроены в чистую установку Windows.
Эти параметры также могут быть установлены в локальной политике. Откройте gpedit.msc на зараженном компьютере и найдите там настройки.