我已经配置了以下几个高级审计策略设置:
Computer Configuration => Policies => Windows Settings => Security Settings =>
Advanced Audit policy Configuration => Audit Policies => ...
以下设置也被设置为“已启用”:
Computer Configuration => Policies => Windows Settings => Security Settings =>
Local Policies => Security Options => Audit: Force audit policy subcategory settings
(Windows Vista or later) to override audit policy category settings.
但是,高级审核设置均未得到应用。正在运行
auditpol /get /category:*
显示所有选项都设置为“无审计”。此外,未设置任何弃用的审计策略。
令我惊讶的是,结果也不rsop命令显示“高级审计策略”类别。我在这里做错了什么?我没什么主意了。提前感谢您的意见!
(1)附录
同一组策略对象中配置的其他设置正在应用。因此可以排除常见的陷阱。
最初的 GPO 包含 MSS 设置
新建一个空的GPO,只设置高级审计配置项,让它们出现在目标服务器上(用auditpol检查)。所以GPO本身肯定有问题。
(2)附录
- 将两个 {GUID}\Machine\Microsoft\Windows NT\Audit\Audit.csv 文件相互比较,可以发现以下差异。请注意“audit”的两次出现。
audit.csv 的非工作版本:
,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3
audit.csv 的工作版本:
,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3
这是怎么回事?有什么令人信服的理由不手动编辑此文件吗?
答案1
我知道这是一个老问题,而且你用不同的方式解决了这个问题,但是,它最初不起作用的原因是由于启用了“审计:强制审计策略子类别设置”。如Technet 上的这篇文章:
缺少对象访问审计是意料之中的事情:一旦您开始应用高级审计配置策略,旧策略将被完全忽略。让 Win7/R2 计算机开始使用旧策略的唯一方法是将安全策略“审计:强制审计策略子类别设置(Windows Vista 或更高版本)覆盖审计策略类别设置”设置为已禁用。这将禁用较新的策略类型的使用。然后,您必须从计算机中清除现有的高级策略(auditpol.pol /clear、拥有空白的 audit.csv 文件等)。系统不是最佳的,但其目的绝不是让您回头。
答案2
我按照以下步骤解决了这个问题:
- 将每个高级审计配置项设置为“未配置”
- 在相关系统上运行 gpupdate /force
- 根据您的要求重新设置所有高级审计配置
我已经从已设置高级审计设置的模板创建了失败的 GPO。我猜想 GUID 内部不匹配...
答案3
这是旧帖子,但我刚刚遇到并解决了同样的问题,但没有成功使用公认的解决方案。
@matze 让我思考了审计政策流程的后端。我发现了以下文章,其中非常详细地阐述了该流程(我强烈推荐阅读):https://blogs.technet.microsoft.com/askds/2011/03/11/getting-the-effective-audit-policy-in-windows-7-and-2008-r2/
在审查中,我发现该%systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv
文件正在正确更新,但该%systemroot%\security\audit\audit.csv
文件有一个几年前的时间戳。
查看属性时,c:\windows\security\audit\audit.csv
被设置为只读,这显然阻止了操作系统更新文件。
为了解决这个问题,我做了以下事情:
- 我删除了“只读”属性
- 使用 GPEdit 导出高级审计策略设置并手动将所有内容设置为未配置。
- 用于
Auditpol /backup /file:<file>
备份 Auditpol - 用于
auditpol /clear
清除 Auditpol Gpupdate /force
auditpol /get /category:*
确保一切都已清理干净- 将高级审计策略设置重新导入 GPEdit
Gpupdate /force
auditpol /get /category:*
确保一切再次正确设置
为了确认修复,我更改了 GPEDIT 中的设置,再次执行 gpupdate,再次执行 auditpol /get。更改正确显示。
答案4
我最近遇到过没有在任何 GPO 上应用高级审计策略设置的情况,尽管“审计:强制审计策略子类别设置(Windows Vista 或更高版本)覆盖审计策略类别设置“被设置为启用。
这是因为默认域策略 GPO 文件夹没有 audit.csv 文件。此文件应位于:
\\corp.example.org\SYSVOL\corp.example.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\Audit\audit.csv
如果您没有此文件,您可以通过在默认域策略 GPO 上配置任何高级审核策略设置来生成它,然后立即取消配置它。