在 Windows Server 2008 R2 上恢复旧版审核策略

Question 1

我要重复一下我的问题因为我最初对这里给出的答案并不满意。我相信这也回答了这个问题。

从http://jmfcomputers.co.uk/blog/?p=202

（笔记：将子类别设置设为“已禁用”很重要。这让我有点困惑。）

为了回滚，您需要执行以下操作：

◦ 重置所有本地高级审核设置。如果您通过 GPO 执行此操作，请重置此 GPO 中的设置。

◦ 在 2008 计算机上使用“auditpol /clear”清除任何本地设置的策略。

◦ 您必须将本地策略“审核：强制审核策略子类别设置（Windows Vista 或更高版本）覆盖审核策略类别设置”设置为已禁用。执行此操作并应用后，您将看到注册表项 HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)

◦ 然后您需要删除 audit.csv 文件。对于基于域的策略，它将位于 SYSVOL 中

◦ \[域]\sysvol[域]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit

◦ 对于本地策略，请从所有这些位置删除 Audit.csv。有些可能被隐藏了，但它们就在那里！！

◦ C:\Windows\security\audit

◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit

现在重新启动或“gpupdate /force”您应该可以重新回到开始。

顺便说一句，一旦您让 2008 R2 计算机再次应用旧的审计策略，我建议将策略“审计：强制审计策略子类别设置（Windows Vista 或更高版本）覆盖审计策略类别设置”重新设置为未定义的默认值。这样，当您将来通过 GPO 继续使用高级审计设置时，就不会出现 2008 R2 服务器禁用此设置并“修复”后不会应用新的高级审计设置的情况。为此，只需删除 SCENoApplyLegacyAuditPolicy DWORD 值。您将在本地策略中看到，这已将策略重新设置为“未定义”。

这似乎已将审计恢复到在我们的网络上启用高级审计之前的水平。

Answer

我要重复一下我的问题因为我最初对这里给出的答案并不满意。我相信这也回答了这个问题。

从http://jmfcomputers.co.uk/blog/?p=202

（笔记：将子类别设置设为“已禁用”很重要。这让我有点困惑。）

为了回滚，您需要执行以下操作：

◦ 重置所有本地高级审核设置。如果您通过 GPO 执行此操作，请重置此 GPO 中的设置。

◦ 在 2008 计算机上使用“auditpol /clear”清除任何本地设置的策略。

◦ 您必须将本地策略“审核：强制审核策略子类别设置（Windows Vista 或更高版本）覆盖审核策略类别设置”设置为已禁用。执行此操作并应用后，您将看到注册表项 HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)

◦ 然后您需要删除 audit.csv 文件。对于基于域的策略，它将位于 SYSVOL 中

◦ \[域]\sysvol[域]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit

◦ 对于本地策略，请从所有这些位置删除 Audit.csv。有些可能被隐藏了，但它们就在那里！！

◦ C:\Windows\security\audit

◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit

现在重新启动或“gpupdate /force”您应该可以重新回到开始。

顺便说一句，一旦您让 2008 R2 计算机再次应用旧的审计策略，我建议将策略“审计：强制审计策略子类别设置（Windows Vista 或更高版本）覆盖审计策略类别设置”重新设置为未定义的默认值。这样，当您将来通过 GPO 继续使用高级审计设置时，就不会出现 2008 R2 服务器禁用此设置并“修复”后不会应用新的高级审计设置的情况。为此，只需删除 SCENoApplyLegacyAuditPolicy DWORD 值。您将在本地策略中看到，这已将策略重新设置为“未定义”。

这似乎已将审计恢复到在我们的网络上启用高级审计之前的水平。

Question 2

我想做同样的事情，并启用了高级审计策略。使用高级审计策略，角色会反转，您可以指定所需的内容，而不是捕获所有内容。由于这仅适用于 Vista 及更高版本，因此您可能希望将其与 XP 策略分开（为了澄清起见，如果没有其他目的）。

为此，您需要设置

Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy

Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings

然后配置

Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies

例如，您需要转到“对象访问”并选择要审核的内容

Object Access: 
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)

Answer

我想做同样的事情，并启用了高级审计策略。使用高级审计策略，角色会反转，您可以指定所需的内容，而不是捕获所有内容。由于这仅适用于 Vista 及更高版本，因此您可能希望将其与 XP 策略分开（为了澄清起见，如果没有其他目的）。

为此，您需要设置

Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy

Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings

然后配置

Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies

例如，您需要转到“对象访问”并选择要审核的内容

Object Access: 
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)

在 Windows Server 2008 R2 上恢复旧版审核策略

答案1

答案2

相关内容