我目前正在整理一些 PS 脚本,这些脚本可以针对新的 Web 服务器运行,以便在将其投入生产之前对其进行强化。其中一个脚本将启动 secedit 并导入我定义的策略。我的查询围绕策略 inf 文件的 [Event Audit] 部分。它包含要审核的各个方面的选项,例如:
[Event Audit]
AuditSystemEvents = 0
AuditLogonEvents = 0
AuditObjectAccess = 0
etc etc
从这个来看,我似乎有两个可能的值;1 或 0。我的问题是如何设置是否记录每个事件的成功、失败或成功和失败?任何指示都将不胜感激。
答案1
后来我尝试了一下并找到了答案。事件审计有 4 个可能的值:
- 0 = 无审计
- 1 = 成功
- 2 = 失败
- 3 = 成功,失败
我希望有一天这能为某人提供快速的答案!
答案2
传统的“事件审计策略”设置实际上有五个值(每个微软)
0
= 无1
= 仅限成功2
= 仅限失败3
= 成功与失败4
= 无
然而,如果该[Registry Values]
部分包含此条目;
MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy 4,1
值4,1
表示“高级审核”正在使用中(4
=DWORD,1
=Enabled),并且通过显示的所有旧式“事件审核策略”设置SECedit.exe
都将设置为0
。
可以通过运行附加命令来查询“高级审计设置”。
auditpol.exe /backup /file:C:\AuditPolicy.CSV