我正在尝试找到一种命令行方式来从本地安全策略中获取安全设置。具体来说,安全设置 > 本地策略 > 审计策略。策略和当前安全设置的列表。能够查看策略是否可编辑或是否从其他来源设置将是一个加分项,但不是必需的。
本地安全策略窗口中的相关设置:
答案1
这取决于传统(又称“类别级别”)或高级审计政策是否有效。
对于旧式审计策略(您的屏幕截图显示的内容):
secedit.exe /export /areas SECURITYPOLICY /cfg filename.txt
对于高级审计策略:
auditpol.exe /get /category:*
决定旧式策略设置或高级策略设置是否有效的是注册表值:
Key: HKLM\System\CurrentControlSet\Control\Lsa
Value: SCENoApplyLegacyAuditPolicy
这对应于以下组策略设置,Windows 设置 > 安全设置 > 本地策略 > 安全选项:审核:强制审核策略子类别设置(Windows Vista 或更高版本)覆盖审核策略类别设置。
Windows Vista 及更高版本的 Windows 允许使用审核策略子类别以更精确的方式管理审核策略。在类别级别设置审核策略将覆盖新的子类别审核策略功能。
为了允许使用子类别管理审核策略而无需更改组策略,Windows Vista 及更高版本中有了一个新的注册表值 SCENoApplyLegacyAuditPolicy,它可以阻止应用类别级别的审核策略。
如果 SCENoApplyLegacyAuditPolicy 启用/1,则旧式审计策略设置将不起作用。
如果 SCENoApplyLegacyAuditPolicy 被禁用/0,则旧式审计策略设置将生效。
答案2
我想答案可能是:
auditpol /get /category:*
(需要管理命令提示符)
參考文獻: https://support.microsoft.com/en-us/kb/2573113 https://blogs.technet.microsoft.com/askds/2011/03/11/getting-the-effective-audit-policy-in-windows-7-and-2008-r2/
(宇宙规则 - 花费数小时研究,在 Stack Exchange 上创建帐户,用谷歌进行更多搜索,起草问题,审查 serverfault 提出的答案,睡一觉,进行更多研究,最后发布这个该死的问题,然后在 15 分钟后找到答案>.<)