В настоящее время я собираю несколько сценариев PS, которые можно запустить на новом веб-сервере, чтобы укрепить его до того, как он будет запущен в производство. Один из этих скриптов запустит secedit и импортирует определенную мной политику. Мой запрос относится к разделу [Аудит событий] в файле политики. Он содержит варианты для различных аспектов аудита, например:
[Event Audit]
AuditSystemEvents = 0
AuditLogonEvents = 0
AuditObjectAccess = 0
etc etc
Глядя на это, может показаться, что у меня есть два возможных значения; 1 или 0. Мой вопрос в том, как мне установить, регистрировать ли успех, неудачу или успех и неудачу для каждого события? Приветствуются любые указатели.
С тех пор я немного поигрался и нашел ответ. Есть 4 возможных значения для аудита событий:
Я надеюсь, что однажды этот день даст кому-нибудь быстрый ответ!
В устаревших параметрах «Политика аудита событий» фактически есть пять значений (Per MSDN)
0 = Нет1 = Только успех2 = Только отказ3 = Успех и неудача4 = Неттем не мение, если [Registry Values] раздел содержит эту запись;
MACHINE\System\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy 4,1
Ценность 4,1 означает, что "Расширенный аудит" используется (4= DWORD,1= Включено), а все устаревшие настройки «Политики аудита событий» отображаются через SECedit.exe будет установлен на 0.
«Расширенные настройки аудита» можно запросить, выполнив дополнительную команду.
auditpol.exe /backup /file:C:\AuditPolicy.CSV