Недавно я пытался уменьшить количество спама в моих аудитах безопасности, отключив аудит «Отбрасывание пакетов платформы фильтрации». Через неделю я получаю достаточно этих аудитов, чтобы заполнить файл журнала размером 200 МБ. Я попытался отключить это с помощью расширенной политики аудита. Мне неизвестно, система в настоящее время использует устаревшую систему аудита, и эта расширенная политика аудита уничтожила все мои проверки. Я распространил это с помощью групповой политики, поскольку все наши политики настроены таким образом, поэтому мои машины с Windows 7 тоже были убиты.
Мне удалось восстановить аудит на своих машинах с Windows 7, и я попытался применить то же исправление к своему серверу 2008 года, но все, что я вижу, - это набор событий «Политика аудита изменилась». Исправление, которое сработало для 7 машин: способ 2.
Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Right-click SCENoApplyLegacyAuditPolicy, and then click Modify.
Type 0 in the Value data box, and then click OK.
auditpol.exe /get /category:*
сообщает, что в моей системе не включен аудит.
Как я могу восстановить аудит на моей машине без необходимости восстанавливать машину до очень устаревшего образа жесткого диска?
Я повторю ответ на мой вопрос поскольку изначально я не был удовлетворен ответом, данным здесь. Я считаю, что это также отвечает на этот вопрос.
Из http://jmfcomputers.co.uk/blog/?p=202
(НОТА: Важно установить для параметров подкатегории значение «Отключено». Это меня немного сбило с толку.)
Для отката вам необходимо сделать следующее:
◦ Сбросьте все локальные расширенные настройки аудита. Если вы сделали это через GPO, сбросьте настройки в этом GPO.
◦ На компьютере 2008 используйте «auditpol / clear», чтобы очистить все локально установленные политики.
◦ Вы должны установить для локальной политики «Аудит: принудительно настроить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита». ОТКЛЮЧЕН. Когда вы это сделаете, и он будет применен, вы увидите раздел реестра HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa - SCENoApplyLegacyAuditPolicy = 0 (DWORD)
◦ Затем вам нужно удалить файлы audit.csv. Для политики на основе домена это будет в SYSVOL
◦ \ [Домен] \ sysvol [Домен] \ Policies {GUID} \ Machine \ Microsoft \ Windows NT \ Audit
◦ Для локальных политик удалите Audit.csv из всех этих мест. Некоторые могут быть скрыты, но они есть !!
◦ C: \ Windows \ security \ audit
◦ C: \ Windows \ System32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit
Теперь перезагрузитесь или «gpupdate / force», и вы снова должны вернуться к началу.
Между прочим, как только у вас есть машина 2008 R2, снова применяющая старые политики аудита, я бы посоветовал установить для политики «Аудит: принудительно настроить подкатегорию политики аудита (Windows Vista или более позднюю версию), чтобы переопределить настройки категории политики аудита» обратно на значение по умолчанию, не определенное. . Таким образом, когда вы в будущем продвинетесь с настройками расширенного аудита через GPO, у вас не будет случаев, когда серверы 2008 R2 с отключенным этим параметром, которые были «исправлены», не будут применять новые расширенные настройки аудита. Для этого просто удалите значение DWORD SCENoApplyLegacyAuditPolicy. В локальной политике вы увидите, что политика вернулась к «не определена».
Похоже, это восстановило аудит до уровня, на котором он был до включения расширенного аудита в нашей сети.
Я хотел сделать то же самое и включил расширенные политики аудита. В расширенной политике аудита роли меняются местами: вы указываете, что хотите, вместо того, чтобы фиксировать все. Поскольку это работает только с Vista и выше, вы можете отделить его от политик XP (для пояснения, если ничего другого).
Для этого вы должны установить
Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy
Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings
затем настройте
Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies
Например, вы захотите перейти в Object Access и выбрать, что вы хотите проверять.
Object Access:
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)