列出审计策略设置的命令行工具
我试图find一种命令行方式来从本地安全策略中获取安全设置。 特别是安全设置>本地策略>审核策略。 政策和当前安全设置的列表。 能够看到政策是可编辑的,或者如果从其他来源设置是一个奖金,但不是必需的。
本地安全策略窗口中有问题的设置:
- 如何审核/只logging拒绝的Windows防火墙连接
- 保持根帐户审计线索
- 抑制来自特定用户的审计事件
- 如何监视尝试修改GAE中安全设置或权限的成功或失败?
- 事件ID 566 – 删除的对象 – Exchange Server
这取决于传统(又名“类别级别”)或高级审计策略是否有效。
对于传统审计策略(您的屏幕截图显示):
secedit.exe /export /areas SECURITYPOLICY /cfg filename.txt 对于高级审计策略:
auditpol.exe /get /category:*
什么决定了遗留或高级策略设置是否有效是registry值:
Key: HKLM\System\CurrentControlSet\Control\Lsa Value: SCENoApplyLegacyAuditPolicy
这对应于以下组策略设置,Windows设置>安全设置>本地策略>安全选项:审核:强制审核策略子类别设置(Windows Vista或更高版本)以覆盖审核策略类别设置。
Windows Vista和更高版本的Windows允许使用审核策略子类更精确地pipe理审核策略。 在类别级别设置审计策略将覆盖新的子类审计策略function。
若要允许使用子类别pipe理审核策略,而不需要更改组策略,则Windows Vista及更高版本中会有一个新的registry值SCENoApplyLegacyAuditPolicy,用于防止应用类别级审核策略。
如果启用SCENoApplyLegacyAuditPolicy / 1,则旧版审计策略设置不生效。
如果SCENoApplyLegacyAuditPolicy被禁用/ 0,则旧版审计策略设置将生效。
我想答案可能是:
auditpol /get /category:* (需要pipe理命令promt)
ref: https : //support.microsoft.com/en-us/kb/2573113 https://blogs.technet.microsoft.com/askds/2011/03/11/getting-the-effective-audit-policy-in -Windows -7-和-2008-R2 /
(宇宙规则 – 花费时间研究,在堆栈交换上创build帐号,更多的问题,草拟问题,复习服务器popup的答案,睡在上面,多研究一下,最后发帖问题,15分钟后找答案> <)