答案1
好的,看来我找到了答案。将子类别设置设为“已禁用”很重要。technet 文章在评论中链接的答案表明配置不正确...这让我有点困惑。
从http://jmfcomputers.co.uk/blog/?p=202
为了回滚,您需要执行以下操作:
◦ 重置所有本地高级审核设置。如果您通过 GPO 执行此操作,请重置此 GPO 中的设置。
◦ 在 2008 计算机上使用“auditpol /clear”清除任何本地设置的策略。
◦ 您必须将本地策略“审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置”设置为已禁用。执行此操作并应用后,您将看到注册表项 HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)
◦ 然后您需要删除 audit.csv 文件。对于基于域的策略,它将位于 SYSVOL 中
◦ \[域]\sysvol[域]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit
◦ 对于本地策略,请从所有这些位置删除 Audit.csv。有些可能被隐藏了,但它们就在那里!!
◦ C:\Windows\security\audit
◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit
现在重新启动或“gpupdate /force”您应该可以重新回到开始。
顺便说一句,一旦您让 2008 R2 计算机再次应用旧的审计策略,我建议将策略“审计:强制审计策略子类别设置(Windows Vista 或更高版本)覆盖审计策略类别设置”重新设置为未定义的默认值。这样,当您将来通过 GPO 继续使用高级审计设置时,就不会出现 2008 R2 服务器禁用此设置并“修复”后不会应用新的高级审计设置的情况。为此,只需删除 SCENoApplyLegacyAuditPolicy DWORD 值。您将在本地策略中看到,这已将策略重新设置为“未定义”。
这似乎已将审计恢复到在我们的网络上启用高级审计之前的水平。
答案2
实际上,对我来说,只需回滚注册表设置即可;将子类别重新设置为“未审核”。顺便说一句,本地策略编辑器 MMC 视图(gpedit.msc或secpol.msc)中的位置与上述注册表设置相对应:在“计算机配置->Windows 设置”(如果在“gpedit.msc”中)下,导航到“安全设置->本地策略->安全选项”,设置“审计:强制审计策略子类别设置“。为了证实这一点,我首先将高级子类别设置转储到 CSV:。auditpol.exe /backup /file:<path\>AuditPolicy.csv前 5 个设置(“IPsec 驱动程序”、“系统完整性”、“安全系统扩展”、“安全状态更改”、“其他系统事件”)与“...安全设置->高级审核策略配置->系统审核策略-本地组策略对象->系统”下的高级子类别设置相同。CSV 文件中的值分别反映了本地 Pol 编辑器中的默认值:(3, 3, 1, 1, 3“1成功”、3=“成功/失败”)。然后我在本地 Pol 编辑器 MMC 中设置“审核:强制审核策略子类别设置”(前面提到的路径),重新启动(需要生效),然后重新运行以auditpol.exe /backup /file:<path\>J:\AuditPolicy.csv再次转储高级 pol 设置:所有 5 个前值都是0。
答案3
有人启用高级审核后,我遇到了默认域策略的问题。
开始之前,请先复制默认策略或您正在使用的策略,方法是右键单击组策略对象文件夹中的策略,然后右键单击组策略对象文件夹并粘贴。(这不会链接副本。)这是为了稍后参考您想要重新创建的设置。
解决方法是在 sysvol 中找到策略,然后在组策略编辑器中选择该策略。转到右侧并选择详细信息选项卡。此处的详细信息显示 C:\windows\sysvol\sysvol\yourdomain.dom\policies\ 中文件夹的哈希名称
找到具有该名称的哈希文件夹,然后找到并删除审计文件夹。它包含上面提到的相同 .csv ^。现在您必须输入默认的锁定、密码、kerberos、审计和事件日志设置。这将阻止高级审计问题的发生。