Я настроил несколько расширенных параметров политики аудита в следующих разделах:
Computer Configuration => Policies => Windows Settings => Security Settings =>
Advanced Audit policy Configuration => Audit Policies => ...
Также установлен следующий параметр «Включено»:
Computer Configuration => Policies => Windows Settings => Security Settings =>
Local Policies => Security Options => Audit: Force audit policy subcategory settings
(Windows Vista or later) to override audit policy category settings.
Однако ни одна из дополнительных настроек аудита не применяется. Бег
auditpol /get /category:*
показывает все параметры, установленные на «Без аудита». Также отсутствуют устаревшие политики аудита.
Что меня удивляет, так это то, что ни gpresult ни rsop.msc отобразить категорию «Расширенная политика аудита». Что я здесь делаю не так? У меня заканчиваются идеи. Спасибо заранее за ваш вклад!
[1. Приложение]
Применяются другие параметры, настроенные в том же объекте групповой политики. Так что распространенные подводные камни можно исключить.
Исходный GPO содержит настройки MSS
Создание нового пустого объекта групповой политики и установка только дополнительных элементов конфигурации аудита, чтобы они отображались на целевом сервере (проверено с помощью auditpol). Значит, что-то не так с самим GPO.
[2. Приложение]
Нерабочая версия audit.csv:
,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3
Рабочая версия audit.csv:
,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3
Что тут происходит? Есть ли веские причины не редактировать этот файл вручную?
Я понимаю, что это старый вопрос, и что вы решили проблему другим способом, однако причина, по которой он изначально не работал, заключалась в том, что был включен параметр «Аудит: принудительные настройки подкатегории политики аудита». Как объяснено в эта статья на Technet:
Ожидается отсутствие аудита доступа к объектам: как только вы начнете применять политику конфигурации расширенного аудита, устаревшие политики будут полностью проигнорированы. Единственный способ заставить компьютер Win7 / R2 начать использовать устаревшую политику - это установить для политики безопасности «Аудит: принудительно установить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита» ». Это отключает использование нового типа политики. Затем необходимо удалить существующую расширенную политику с компьютеров (auditpol.pol / clear, наличие пустого файла audit.csv и т. Д.). Система не оптимальна, но вы никогда не собирались возвращаться назад.
Старый пост, но у меня была одна и та же проблема, и я не добился успеха с принятым решением.
@matze заставил меня задуматься о внутренней стороне процесса политики аудита. Я нашел следующую статью, в которой очень подробно описан процесс (я настоятельно рекомендую прочитать): https://blogs.technet.microsoft.com/askds/2011/03/11/getting-the-effective-audit-policy-in-windows-7-and-2008-r2/
В обзоре я обнаружил, что %systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv файл обновлялся правильно, но %systemroot%\security\audit\audit.csv файл имел временную метку, сделанную несколько лет назад.
Глядя на свойства, c:\windows\security\audit\audit.csv был установлен только для чтения, что, по-видимому, мешало ОС обновлять файл.
Для решения я сделал следующее:
Auditpol /backup /file:<file> сделать резервную копию Auditpolauditpol /clear очистить AuditpolGpupdate /forceauditpol /get /category:* чтобы убедиться, что все было очищеноGpupdate /forceauditpol /get /category:* чтобы убедиться, что все было правильно установлено сноваЧтобы подтвердить исправление, я изменил настройки в GPEDIT, снова gpupdate, auditpol / get снова. Изменение обнаружилось правильно.
Я решил это по следующей процедуре:
Я создал сбойный объект групповой политики из шаблона, в котором уже были заданы дополнительные параметры аудита. Я предполагаю, что было внутреннее несоответствие GUID ...
Я столкнулся с той же проблемой. Оказалось, что это вопрос порядка действий. Я установил все расширенные настройки журнала и затем устанавливать Аудит: принудительно настроить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита. на Включено. В то время как другие настройки явно применялись к затронутой тестовой системе, настройки ведения журнала - нет. Они не отображались в сводке настроек, хотя отображались в реальном редакторе.
Я был озадачен этим, пока не проработал процесс и XML-файл (который был почти пуст). Настройки добавляются в файл по мере их выполнения если только что-то еще переопределяет настройку, например, основная настройка, которая требуется для их включения. Если этот главный параметр находится в другой части объекта групповой политики, процесс записи при изменении может не видеть всю политику.
Решение: вернитесь к расширенным настройкам, отключите один параметр и нажмите ОК, затем вернитесь и снова включите его. После этого появятся все настройки ведения журнала. Закройте редактор. GPO перейдет к затронутым системам при следующем обновлении и вступит в силу при следующей перезагрузке.