Не могу поверить, что я это сделал ... Я установил расширенную политику аудита в нашем GPO, и она отключила все наши основные политики. От Technet:
После применения параметров расширенной политики аудита с помощью групповой политики надежно установить политику системного аудита для компьютера можно только с помощью параметров расширенной политики аудита.
Мне кажется странным, что нет способа сказать: «Забудьте, вернитесь к базовому одитингу». Мы не будем восстанавливать всю сеть до старых резервных копий, так как изменение было внесено слишком давно.
А аналогичный вопрос здесь был задан вопрос о serverfault, но ответ, похоже, такой: «настроить расширенный аудит таким же образом». Я сделаю это, если у меня не будет другого выбора, но я бы предпочел фактически восстановить базовый одитинг.
Хорошо, похоже, я нашел ответ. Важно установить для параметров подкатегории значение «Отключено». В статья в технике Связанные в комментариях к ответу предполагают неправильную конфигурацию ... Это меня немного сбило с толку.
Из http://jmfcomputers.co.uk/blog/?p=202
Для отката вам необходимо сделать следующее:
◦ Сбросьте все локальные расширенные настройки аудита. Если вы сделали это через GPO, сбросьте настройки в этом GPO.
◦ На компьютере 2008 используйте «auditpol / clear», чтобы очистить все локально установленные политики.
◦ Вы должны установить для локальной политики «Аудит: принудительно настроить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита». ОТКЛЮЧЕН. Когда вы это сделаете, и он будет применен, вы увидите раздел реестра HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa - SCENoApplyLegacyAuditPolicy = 0 (DWORD)
◦ Затем вам нужно удалить файлы audit.csv. Для политики на основе домена это будет в SYSVOL
◦ \ [Домен] \ sysvol [Домен] \ Policies {GUID} \ Machine \ Microsoft \ Windows NT \ Audit
◦ Для локальных политик удалите Audit.csv из всех этих мест. Некоторые могут быть скрыты, но они есть !!
◦ C: \ Windows \ security \ audit
◦ C: \ Windows \ System32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit
Теперь перезагрузитесь или «gpupdate / force», и вы снова должны вернуться к началу.
Между прочим, как только у вас есть машина 2008 R2, снова применяющая старые политики аудита, я бы посоветовал установить для политики «Аудит: принудительно настроить подкатегорию политики аудита (Windows Vista или более позднюю версию), чтобы переопределить настройки категории политики аудита» обратно на значение по умолчанию, не определенное. . Таким образом, когда вы в будущем продвинетесь с настройками расширенного аудита через GPO, у вас не будет случаев, когда серверы 2008 R2 с отключенным этим параметром, которые были «исправлены», не будут применять новые расширенные настройки аудита. Для этого просто удалите значение DWORD SCENoApplyLegacyAuditPolicy. В локальной политике вы увидите, что политика вернулась к «не определена».
Похоже, это восстановило аудит до уровня, на котором он был до включения расширенного аудита в нашей сети.