在 Windows Server 2008 R2 上恢复旧版审核策略

在 Windows Server 2008 R2 上恢复旧版审核策略

最近,我试图通过禁用“过滤平台数据包丢弃”的审计来减少安全审计的垃圾邮件。在一周的时间里,我收到的审计数量足以填满一个 200Mb 的日志文件。我尝试使用高级审计策略禁用此功能。我不知道,系统当前使用的是旧版审计系统,而这个高级审计策略杀死了我所有的审计。我使用组策略传播了这一点,因为我们所有的策略都是这样设置的,所以它也杀死了我的 Windows 7 机器。

我已经能够在 Windows 7 机器上恢复审核,并尝试将相同的修复程序应用于我的 2008 服务器,但我看到的只是一堆“审核策略已更改”事件。适用于 7 台机器的修复程序是方法 2

Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Right-click SCENoApplyLegacyAuditPolicy, and then click Modify.
Type 0 in the Value data box, and then click OK.

auditpol.exe /get /category:*报告我的系统上没有启用审计。

如何才能恢复我机器上的审计,而不需要将机器恢复到非常过时的硬盘映像?

答案1

我要重复一下我的问题因为我最初对这里给出的答案并不满意。我相信这也回答了这个问题。

http://jmfcomputers.co.uk/blog/?p=202

笔记:将子类别设置设为“已禁用”很重要。这让我有点困惑。)

为了回滚,您需要执行以下操作:

◦ 重置所有本地高级审核设置。如果您通过 GPO 执行此操作,请重置此 GPO 中的设置。

◦ 在 2008 计算机上使用“auditpol /clear”清除任何本地设置的策略。

◦ 您必须将本地策略“审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置”设置为已禁用。执行此操作并应用后,您将看到注册表项 HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)

◦ 然后您需要删除 audit.csv 文件。对于基于域的策略,它将位于 SYSVOL 中

◦ \[域]\sysvol[域]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit

◦ 对于本地策略,请从所有这些位置删除 Audit.csv。有些可能被隐藏了,但它们就在那里!!

◦ C:\Windows\security\audit

◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit

现在重新启动或“gpupdate /force”您应该可以重新回到开始。

顺便说一句,一旦您让 2008 R2 计算机再次应用旧的审计策略,我建议将策略“审计:强制审计策略子类别设置(Windows Vista 或更高版本)覆盖审计策略类别设置”重新设置为未定义的默认值。这样,当您将来通过 GPO 继续使用高级审计设置时,就不会出现 2008 R2 服务器禁用此设置并“修复”后不会应用新的高级审计设置的情况。为此,只需删除 SCENoApplyLegacyAuditPolicy DWORD 值。您将在本地策略中看到,这已将策略重新设置为“未定义”。

这似乎已将审计恢复到在我们的网络上启用高级审计之前的水平。

答案2

我想做同样的事情,并启用了高级审计策略。使用高级审计策略,角色会反转,您可以指定所需的内容,而不是捕获所有内容。由于这仅适用于 Vista 及更高版本,因此您可能希望将其与 XP 策略分开(为了澄清起见,如果没有其他目的)。

为此,您需要设置

Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy

Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings

然后配置

Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies

例如,您需要转到“对象访问”并选择要审核的内容

Object Access: 
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)

相关内容