目前我正在编写一些PS脚本,这些脚本可以在新Web服务器上运行,以便在投入生产之前对其进行加固。 其中一个脚本将启动secedit并导入我已定义的策略。 我的查询围绕策略inf文件的[事件审核]部分。 它包含各个方面进行审计的选项,例如:
[Event Audit] AuditSystemEvents = 0 AuditLogonEvents = 0 AuditObjectAccess = 0 etc etc 从这个angular度来看,似乎我有两个可能的价值观; 1或0.我的问题是如何设置是否logging每个事件的成功,失败或成功与失败? 任何指针将不胜感激。
我从那以后玩了一下,find了答案。 事件审计有四种可能的值:
我希望有一天能够给别人提供一个快速的答案!
传统的“事件审核策略”设置实际上有五个值(每个MSDN )
0 =无 1 =仅成功 2 =仅失败 3 =成功和失败 4 =没有 但是 ,如果[Registry Values]部分包含此条目;
MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy 4,1
值为4,1意味着“高级审计”正在使用中( 4 = DWORD, 1 =启用),并且通过SECedit.exe显示的所有传统“事件审计策略”设置将被设置为0 。
“高级审计设置”可以通过运行一个额外的命令来查询。
auditpol.exe /backup /file:C:\AuditPolicy.CSV