вопрос

Я пытаюсь применить объект групповой политики с расширенной политикой аудита безопасности к клиенту Windows 7, но этот параметр не применяется.

Я дважды проверил свою работу, используя эту статью - http://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx

Я включил Аудит: Принудительно настроить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита.

Когда я запускаю auditpol.exe /get /category:*, я вижу, что применяются только расширенные параметры аудита по умолчанию, а не те, которые я установил в новом объекте групповой политики. Я знаю, что сам объект групповой политики применяется к компьютеру, поскольку присутствуют другие параметры в объекте групповой политики, и RSOP показывает, что объект групповой политики успешно применен.

У нас есть объект GPO выше в структуре OU, который применяет некоторые расширенные параметры аудита, поэтому я подумал, что по какой-то причине он мешает или переопределяет, но они также не отображаются в audpol.exe /get /category:*. Я выполнил audpol.exe /clear, который очищает политику

| |

После audpol.exe / очистить

|

Настройка категории / подкатегории

система

Расширение системы безопасности без аудита

Целостность системы без аудита

Драйвер IPsec без аудита

Другие системные события без аудита

Изменение состояния безопасности Нет аудита

Вход / выход

Вход Нет Аудит

Выйти Нет Аудит

Блокировка учетной записи Нет аудита

Основной режим IPsec без аудита

Быстрый режим IPsec без аудита

Расширенный режим IPsec без аудита

Специальный вход без аудита

Другие события входа / выхода без аудита

Сервер сетевой политики без аудита

Доступ к объекту

Файловая система без аудита

Реестр Нет Аудит

Объект ядра без аудита

СЭМ Нет Аудит

Услуги по сертификации без аудита

Приложение создано без аудита

Обработка манипуляций без аудита

Общий доступ к файлам без аудита

Пакет фильтрации пакета Drop Drop без аудита

Соединение платформы фильтрации без аудита

Другие события доступа к объекту без аудита

Подробный общий доступ к файлам без аудита

Использование привилегий

Чувствительная привилегия Использование Нет Аудит

Не чувствительное использование привилегий без аудита

Другие события использования привилегий Нет аудита

Детальное отслеживание

Завершение процесса без аудита

Деятельность DPAPI без аудита

События RPC без аудита

Создание процесса без аудита

Изменение политики

Изменение политики аудита Нет аудита

Изменение политики аутентификации без аудита

Изменение политики авторизации без аудита

MPSSVC Изменение политики на уровне правил без аудита

Изменение политики платформы фильтрации без аудита

Другие события изменения политики Нет аудита

Управление аккаунтом

Управление учетной записью пользователя Нет аудита

Управление учетными записями компьютеров без аудита

Управление группой безопасности без аудита

Управление группой рассылки без аудита

Управление группой приложений Нет аудита

Другие события управления учетными записями Нет аудита

Изменения службы каталогов DS Access Нет аудита

Репликация службы каталогов без аудита

Подробная репликация службы каталогов без аудита

Доступ к службе каталогов без аудита

Вход в аккаунт

Операции с билетами службы Kerberos без аудита

Другие события входа в учетную запись Нет аудита

Служба аутентификации Kerberos без аудита

Проверка учетных данных без аудита

Затем я выполнил gpupdate /force и перезагрузился, но AuditPol по-прежнему показывает «Нет аудита» для всех настроек.

Я также удалил файл audit.csv, в котором, по-видимому, содержатся параметры объекта групповой политики, расположенные выше в структуре (хотя я читал, что он содержит только локальные параметры), но не новый объект групповой политики в C:\Windows\security\audit и затем выполнил gpupdate /force. После запуска gpupdate /force файл был восстановлен, и в нем отображались параметры по умолчанию и расширенные параметры аудита из объекта групповой политики, расположенные выше в структуре OU, а не новые параметры объекта групповой политики, но auditpol все еще не показывал аудит для всех параметров. Кроме того, дата изменения файла audit.csv была указана несколько месяцев назад, поэтому я подозреваю, что она просто извлекает информацию из исходного объекта групповой политики? Я пытался установить и повысить рейтинг нового объекта групповой политики, но он по-прежнему не применяется.

Среда

Windows 7 SP1 клиент и Windows 2008R2 DC

Любая помощь приветствуется.

1 ответ1

0

В Windows 7 / Vista: запустите start> cmd.exe .

Чтобы перечислить варианты:

c:\auditpol /list /subcategory:*

Категория / Подкатегория

система

  • Изменение состояния безопасности
  • Расширение системы безопасности
  • Целостность системы
  • Драйвер IPsec
  • Другие системные события

Вход / выход

  • Вход в систему
  • Выйти
  • Блокировка аккаунта
  • Основной режим IPsec
  • Быстрый режим IPsec
  • Расширенный режим IPsec
  • Специальный вход
  • Другие события входа / выхода
  • Сервер сетевой политики

Доступ к объекту

  • Файловая система
  • реестр
  • Ядро Объект
  • СЭМ
  • Сертификационные услуги
  • Приложение создано
  • Ручка Манипуляции
  • Файловый ресурс
  • Фильтрующая платформа Drop Drop
  • Подключение платформы фильтрации
  • Другие события доступа к объекту
  • Подробный файл Поделиться

Использование привилегий

  • Чувствительное использование привилегий
  • Использование нечувствительных привилегий
  • Другие события использования привилегий

Детальное отслеживание

  • Создание процесса
  • Завершение процесса
  • Деятельность DPAPI
  • RPC События

Изменение политики

  • Изменение политики аудита
  • Изменение политики аутентификации
  • Изменение политики авторизации
  • MPSSVC Изменение политики на уровне правил
  • Фильтрация изменений политики платформы
  • Другие события изменения политики

Управление аккаунтом

  • Управление учетной записью пользователя
  • Управление учетными записями компьютеров
  • Управление группой безопасности
  • Управление распределительной группой
  • Управление группой приложений
  • Другие события управления аккаунтом

DS Access

  • Доступ к службе каталогов
  • Изменения службы каталогов
  • Репликация службы каталогов
  • Подробная репликация службы каталогов

Вход в аккаунт

  • Проверка учетных данных
  • Сервис по продаже билетов Kerberos
  • Другие события входа в аккаунт
  • Служба аутентификации Kerberos

Затем используйте auditpol /set ... для установки значения. Для получения дополнительной помощи используйте auditpol /? ,

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .