高级审计策略未在 2012 R2 上应用

tag-icon tag-icon security group-policy windows-server-2012-r2
高级审计策略未在 2012 R2 上应用

我已经配置了以下几个高级审计策略设置:

Computer Configuration => Policies => Windows Settings => Security Settings => 
Advanced Audit policy Configuration => Audit Policies => ...

以下设置也被设置为“已启用”:

Computer Configuration => Policies => Windows Settings => Security Settings =>
Local Policies => Security Options => Audit: Force audit policy subcategory settings
(Windows Vista or later) to override audit policy category settings.

但是,高级审核设置均未得到应用。正在运行

auditpol /get /category:*

显示所有选项都设置为“无审计”。此外,未设置任何弃用的审计策略。

令我惊讶的是,结果也不rsop命令显示“高级审计策略”类别。我在这里做错了什么?我没什么主意了。提前感谢您的意见!

(1)附录

  1. 同一组策略对象中配置的其他设置正在应用。因此可以排除常见的陷阱。

  2. 最初的 GPO 包含 MSS 设置

  3. 新建一个空的GPO,只设置高级审计配置项,让它们出现在目标服务器上(用auditpol检查)。所以GPO本身肯定有问题。

(2)附录

  1. 将两个 {GUID}\Machine\Microsoft\Windows NT\Audit\Audit.csv 文件相互比较,可以发现以下差异。请注意“audit”的两次出现。

audit.csv 的非工作版本:

,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3

audit.csv 的工作版本:

,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3

这是怎么回事?有什么令人信服的理由不手动编辑此文件吗?

答案1

我知道这是一个老问题,而且你用不同的方式解决了这个问题,但是,它最初不起作用的原因是由于启用了“审计:强制审计策略子类别设置”。如Technet 上的这篇文章

缺少对象访问审计是意料之中的事情:一旦您开始应用高级审计配置策略,旧策略将被完全忽略。让 Win7/R2 计算机开始使用旧策略的唯一方法是将安全策略“审计:强制审计策略子类别设置(Windows Vista 或更高版本)覆盖审计策略类别设置”设置为已禁用。这将禁用较新的策略类型的使用。然后,您必须从计算机中清除现有的高级策略(auditpol.pol /clear、拥有空白的 audit.csv 文件等)。系统不是最佳的,但其目的绝不是让您回头。

答案2

我按照以下步骤解决了这个问题:

  • 将每个高级审计配置项设置为“未配置”
  • 在相关系统上运行 gpupdate /force
  • 根据您的要求重新设置所有高级审计配置

我已经从已设置高级审计设置的模板创建了失败的 GPO。我猜想 GUID 内部不匹配...

答案3

这是旧帖子,但我刚刚遇到并解决了同样的问题,但没有成功使用公认的解决方案。

@matze 让我思考了审计政策流程的后端。我发现了以下文章,其中非常详细地阐述了该流程(我强烈推荐阅读):https://blogs.technet.microsoft.com/askds/2011/03/11/getting-the-effective-audit-policy-in-windows-7-and-2008-r2/

在审查中,我发现该%systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv文件正在正确更新,但该%systemroot%\security\audit\audit.csv文件有一个几年前的时间戳。

查看属性时,c:\windows\security\audit\audit.csv被设置为只读,这显然阻止了操作系统更新文件。

为了解决这个问题,我做了以下事情:

  1. 我删除了“只读”属性
  2. 使用 GPEdit 导出高级审计策略设置并手动将所有内容设置为未配置。
  3. 用于Auditpol /backup /file:<file>备份 Auditpol
  4. 用于auditpol /clear清除 Auditpol
  5. Gpupdate /force
  6. auditpol /get /category:*确保一切都已清理干净
  7. 将高级审计策略设置重新导入 GPEdit
  8. Gpupdate /force
  9. auditpol /get /category:*确保一切再次正确设置

为了确认修复,我更改了 GPEDIT 中的设置,再次执行 gpupdate,再次执行 auditpol /get。更改正确显示。

答案4

我最近遇到过没有在任何 GPO 上应用高级审计策略设置的情况,尽管“审计:强制审计策略子类别设置(Windows Vista 或更高版本)覆盖审计策略类别设置“被设置为启用。

这是因为默认域策略 GPO 文件夹没有 audit.csv 文件。此文件应位于:

\\corp.example.org\SYSVOL\corp.example.org\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\Audit\audit.csv

如果您没有此文件,您可以通过在默认域策略 GPO 上配置任何高级审核策略设置来生成它,然后立即取消配置它。

相关内容