服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在Windows Server 2008 R2上还原旧式审核策略
Intereting Posts
有没有办法从crashlytics / fabric到ELK或SaaS度量平台(如datadog)获取日志事件? 首先尝试CentOS服务器的随机SSH连接超时 MySQL集群是一个在5年内期待5TB数据的数据库的可行select吗? 为什么scp比http慢得多? GCSFuse使用VFS吗? Get-ItemProperty:找不到path'HKLM:\ SOFTWARE \ Microsoft \ PowerShell \ 1 \ ShellIds \ Microsoft.SqlServer.Management.PowerShell.sqlps' Xen:如何安装domU(guest os)的bootloader? SVN txn-current-lock:权限被拒绝 PGP邮件服务器encryption代理 几个键盘键在VMWare中不起作用(Host = Linux,Guest = Windows) Apache将JSP页面转发给Tomcat? 覆盖一些DNSlogging并将其他人委托给另一个名称服务器 linux virtualbox guest(windows主机)到物理分区 MongoDB主动 – 主动多个数据中心 在Windows Server 2012上创build和使用中级证书颁发机构?

在Windows Server 2008 R2上还原旧式审核策略

最近,我试图通过禁用“过滤平台数据包丢失”审计来减less安全审计的垃圾邮件。 在一周的时间里,我得到了足够的这些审计,填补了一个200Mb的日志文件。 我试着用高级审计策略来禁用这个function。 我不了解,该系统目前正在使用传统的审计系统,而这种先进的审计策略会导致我所有的审计无效。 我使用组策略传播了这一点,因为我们所有的策略都是这样设置的,所以它也杀死了我的Windows 7机器。

我已经能够恢复在我的Windows 7计算机上的审计,我试图应用相同的修复程序到我的2008服务器,但我看到的是一堆“审计策略已更改”事件。 为7台机器工作的修复方法是2 。 

Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA Right-click SCENoApplyLegacyAuditPolicy, and then click Modify. Type 0 in the Value data box, and then click OK.

auditpol.exe /get /category:*报告我的系统上没有启用审计。

我怎样才能在我的机器上恢复审计而不必将机器恢复到非常过时的硬盘映像?

我想要做同样的事情,并启用高级审计政策。 有了高级审计策略,angular色就会相反,因为您指定了您想要的内容而不是捕获所有内容。 因为这只适用于Vista及以上版本,所以您可能希望将其与XP策略分开(如果没有其他说明,请进行说明)。

要做到这一点,你会设置 

 Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings

然后configuration 

 Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies

例如,您将希望进入对象访问并select您想要审核的内容 

 Object Access: Audit Application Generated: Success & Failure Audit File Share: Success & Failure Audit Details File Share: Not Configured (this means do not audit)

我要重复我的问题的答案,因为我对最初在这里给出的答复不满意。 我相信这也回答了这个问题。

http://jmfcomputers.co.uk/blog/?p=202

注意:重要的是将子类别的设置设置为“禁用”,这让我有点绊倒。)

为了回滚,您需要执行以下操作:

◦重置所有本地高级审核设置。 如果通过GPO执行此操作,请重置此GPO中的设置。

◦在2008计算机上使用“auditpol / clear”清除任何本地设置的策略。

◦必须将本地策略“审核:强制审核策略子类别设置(Windows Vista或更高版本)覆盖审核策略类别设置”设置为“ 禁用” 。 当你这样做,它被应用,你会看到registry项HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa – SCENoApplyLegacyAuditPolicy = 0(DWORD)

◦然后您需要删除audit.csv文件。 对于基于域的策略,这将在SYSVOL中

◦\ [域] \ sysvol [域] \ Policies {GUID} \ Machine \ Microsoft \ Windows NT \ Audit

◦对于本地策略,从所有这些位置删除Audit.csv。 有些可能是隐藏的,但他们在那里!

◦C:\ Windows \ security \ audit

◦C:\ Windows \ System32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit

现在重新启动或“gpupdate / force”,你应该重新开始。

顺便说一句,一旦你有了2008 R2机器再次应用旧的审计策略,我会build议将策略“审计:强制审计策略子类别设置(Windows Vista或更高版本)覆盖审计策略类别设置”回到默认的未定义。 通过这种方式,当您通过GPO将高级审核设置向前迈进时,您将不会遇到禁用了“已修复”此设置的2008 R2服务器将不会应用新的高级审核设置的情况。 为了做到这一点,只需删除SCENoApplyLegacyAuditPolicy DWORD值。 您会在本地策略中看到,这已将策略设置回“未定义”。

这似乎将审计恢复到了在我们的networking上启用高级审计之前的程度。