高级安全审计策略不适用于 Win7

高级安全审计策略不适用于 Win7

问题

我正在尝试将具有高级安全审计策略配置的 GPO 应用于 Windows 7 客户端,但该设置未应用。

我使用这篇文章仔细检查了我的工作 -http://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx

我确实启用了审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置

当我运行 auditpol.exe /get /category:* 时,我看到只应用了默认的高级审核设置,而不是我在新 GPO 中设置的设置。我知道 GPO 本身正在应用于计算机,因为 GPO 中的其他设置存在,并且 RSOP 显示 GPO 已成功应用。

我们在 OU 结构中有一个更高级别的 GPO,它应用了一些高级审核设置,所以我认为由于某种原因,它正在干扰或覆盖,但它们也没有显示在 auditpol.exe /get /category:* 中。我执行了 auditpol.exe /clear,清除了策略

| |

auditpol.exe /clear 之后

|

类别/子类别设置

系统

安全系统扩展无审计

系统完整性无审计

IPsec 驱动程序无审核

其他系统事件无审计

安全状态更改无审计

登录/注销

登录无审核

注销无审计

账户锁定无审计

IPsec 主模式无审计

IPsec 快速模式无审核

IPsec 扩展模式无审计

特殊登录无审核

其他登录/注销事件无审计

网络策略服务器无审核

对象访问

文件系统无审计

註冊無审计

内核对象无审计

SAM 无需审计

认证服务无需审计

申请生成无需审核

处理操作无需审计

文件共享无审计

过滤平台数据包丢弃无审计

过滤平台连接无审计

其他对象访问事件无审计

详细文件共享无审计

特权使用

敏感权限使用无审计

非敏感权限使用无审计

其他特权使用事件无审计

详细追踪

流程终止无需审计

DPAPI 活动无审核

RPC 事件无审计

流程创建无需审计

政策变化

审计政策变更 无需审计

身份验证策略更改无审计

授权策略变更无审计

MPSSVC 规则级策略变更无需审计

过滤平台政策变更无审计

其他政策变更事件无审计

帐户管理

用户账户管理无审计

计算机帐户管理无审计

安全组管理无审计

分发组管理无审计

应用程序组管理无审计

其他账户管理事件无审计

DS Access 目录服务变更无审计

目录服务复制无审计

详细目录服务复制无审计

目录服务访问无审计

账户登录

Kerberos 服务票证操作无审计

其他帐户登录事件无审计

Kerberos 身份验证服务无审计

凭证验证无需审计

然后我执行了 gpupdate /force 并重新启动,但 AuditPol 仍然显示所有设置“无审核”。

我还删除了 audit.csv 文件,该文件似乎包含结构中较高 GPO 的设置(尽管我读到它只包含本地设置),但不包含新 GPO,位于 C:\Windows\security\audit,然后执行 gpupdate /force。运行 gpupdate /force 后,文件恢复,并显示默认设置和 OU 结构中较高 GPO 的高级审核设置,而不是新 GPO 设置,但 auditpol 仍显示所有设置均无审核。此外,audit.csv 文件的修改日期是几个月前,所以我怀疑它只是从初始 GPO 中提取信息?我尝试强制执行并将新 GPO 排名更高,但仍然不适用。

环境

Windows 7 SP1 客户端和 Windows 2008R2 DC

任何帮助都将受到赞赏。

答案1

在 Windows 7 / Vista 中:运行开始 > cmd.exe

列出选项:

c:\auditpol /list /subcategory:*

类别/子类别

系统

  • 安全状态改变
  • 安全系统扩展
  • 系统完整性
  • IPsec 驱动程序
  • 其他系统事件

登录/注销

  • 登录
  • 注销
  • 帐户锁定
  • IPsec 主模式
  • IPsec 快速模式
  • IPsec 扩展模式
  • 特殊登录
  • 其他登录/注销事件
  • 网络策略服务器

对象访问

  • 文件系统
  • 註冊
  • 内核对象
  • 山姆
  • 认证服务
  • 应用程序生成
  • 处理操作
  • 文件共享
  • 过滤平台数据包丢弃
  • 过滤平台连接
  • 其他对象访问事件
  • 详细文件共享

特权使用

  • 敏感权限使用
  • 非敏感权限使用
  • 其他特权使用事件

详细追踪

  • 流程创建
  • 进程终止
  • DPAPI 活动
  • RPC 事件

政策变化

  • 审计政策变更
  • 身份验证策略变更
  • 授权政策变更
  • MPSSVC 规则级别政策变更
  • 过滤平台政策变更
  • 其他政策变更事件

帐户管理

  • 用户帐户管理
  • 计算机帐户管理
  • 安全组管理
  • 通讯组管理
  • 应用程序组管理
  • 其他帐户管理事件

DS 访问

  • 目录服务访问
  • 目录服务变更
  • 目录服务复制
  • 详细目录服务复制

账户登录

  • 凭证验证
  • Kerberos 服务票证操作
  • 其他帐户登录事件
  • Kerberos 身份验证服务

然后使用auditpol /set ...设置值。如需更多帮助,请使用auditpol /?

相关内容