使用 Secedit 配置帐户事件审核

使用 Secedit 配置帐户事件审核

我目前正在整理一些 PS 脚本,这些脚本可以针对新的 Web 服务器运行,以便在将其投入生产之前对其进行强化。其中一个脚本将启动 secedit 并导入我定义的策略。我的查询围绕策略 inf 文件的 [Event Audit] 部分。它包含要审核的各个方面的选项,例如:

[Event Audit]
AuditSystemEvents = 0
AuditLogonEvents = 0
AuditObjectAccess = 0
etc etc

从这个来看,我似乎有两个可能的值;1 或 0。我的问题是如何设置是否记录每个事件的成功、失败或成功和失败?任何指示都将不胜感激。

答案1

后来我尝试了一下并找到了答案。事件审计有 4 个可能的值:

  • 0 = 无审计
  • 1 = 成功
  • 2 = 失败
  • 3 = 成功,失败

我希望有一天这能为某人提供快速的答案!

答案2

传统的“事件审计策略”设置实际上有五个值(每个微软

  • 0= 无
  • 1= 仅限成功
  • 2= 仅限失败
  • 3= 成功与失败
  • 4= 无

然而,如果该[Registry Values]部分包含此条目;

MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy 4,1

4,1表示“高级审核”正在使用中(4=DWORD,1=Enabled),并且通过显示的所有旧式“事件审核策略”设置SECedit.exe都将设置为0

可以通过运行附加命令来查询“高级审计设置”。

auditpol.exe /backup /file:C:\AuditPolicy.CSV

相关内容