我在下面configuration了几个高级审计策略设置:
Computer Configuration => Policies => Windows Settings => Security Settings => Advanced Audit policy Configuration => Audit Policies => ... 另外以下设置被设置为“启用”:
Computer Configuration => Policies => Windows Settings => Security Settings => Local Policies => Security Options => Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.
但是,高级审计设置没有得到应用。 运行
auditpol /get /category:*
显示所有选项设置为“无审计”。 另外,也不存在任何已经废弃的审计策略。
令我感到惊讶的是, gpresult和rsop.msc都没有出现“高级审计政策”类别。 我在这里做错了什么? 我正在用尽想法。 预先感谢您的意见!
[1。 附录]
configuration在同一组策略对象中的其他设置正在被应用。 所以常见的陷阱可以排除。
最初的GPO包含MSS设置
创build一个新的空GPO并只设置高级审计configuration项,使它们出现在目标服务器上(使用auditpol进行检查)。 所以GPO本身肯定有问题。
[2。 附录]
audit.csv的非工作版本:
,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3
audit.csv的工作版本:
,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3
这里发生了什么? 任何不能手动编辑此文件的令人信服的理由?
我意识到这是一个比较老的问题,而且你以不同的方式解决了这个问题,但是它原来不起作用的原因是由于“审计:强制审计策略子类别设置”被启用。 正如Technet上的这篇文章所解释的:
预计缺乏对象访问审计:只要开始应用高级审计configuration策略,遗留策略将被完全忽略。 让Win7 / R2计算机开始使用传统策略的唯一方法是将安全策略“审核:强制审核策略子类别设置(Windows Vista或更高版本)覆盖审核策略类别设置”设置为“禁用”。 这将禁用使用较新的策略types。 然后,您必须从机器清除现有的高级策略(auditpol.pol / clear,具有空白的audit.csv文件等)。 这个系统并不是最佳的,但你的意图永远不会回头。
我通过以下程序解决了这个问题:
我已经从已经设置了高级审计设置的模板创build了失败的GPO。 我猜是有一个GUID的内部不匹配…
旧的职位,但我只是有和通过相同的问题,并没有取得成功与接受的解决scheme。
@matze让我思考了审计政策stream程的后端。 我发现下面的文章阐述了这个过程的精彩细节(我强烈推荐阅读): https : //blogs.technet.microsoft.com/askds/2011/03/11/getting-the-effective-audit-policy -in-窗口-7-和-2008-R2 /
在审查中,我发现%systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv文件正确更新,但%systemroot%\security\audit\audit.csv文件有一个从年前。
在查看属性时, c:\windows\security\audit\audit.csv被设置为只读,这显然阻止了操作系统更新文件。
为了解决我做了以下几点:
Auditpol /backup /file:<file>作为Auditpol的备份 auditpol /clear清除Auditpol Gpupdate /force auditpol /get /category:*以确保一切都被清除 Gpupdate /force auditpol /get /category:*以确保一切正确设置再次 为了确认修复,我对GPEDIT,gpupdate,auditpol / get中的设置进行了更改。 变化显示正确。