Назад | Перейти на главную страницу

Восстановление устаревших политик аудита в Windows Server 2008 R2

Недавно я пытался уменьшить количество спама в моих аудитах безопасности, отключив аудит «Отбрасывание пакетов платформы фильтрации». Через неделю я получаю достаточно этих аудитов, чтобы заполнить файл журнала размером 200 МБ. Я попытался отключить это с помощью расширенной политики аудита. Мне неизвестно, система в настоящее время использует устаревшую систему аудита, и эта расширенная политика аудита уничтожила все мои проверки. Я распространил это с помощью групповой политики, поскольку все наши политики настроены таким образом, поэтому мои машины с Windows 7 тоже были убиты.

Мне удалось восстановить аудит на своих машинах с Windows 7, и я попытался применить то же исправление к своему серверу 2008 года, но все, что я вижу, - это набор событий «Политика аудита изменилась». Исправление, которое сработало для 7 машин: способ 2.

Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Right-click SCENoApplyLegacyAuditPolicy, and then click Modify.
Type 0 in the Value data box, and then click OK.

auditpol.exe /get /category:* сообщает, что в моей системе не включен аудит.

Как я могу восстановить аудит на моей машине без необходимости восстанавливать машину до очень устаревшего образа жесткого диска?

Я повторю ответ на мой вопрос поскольку изначально я не был удовлетворен ответом, данным здесь. Я считаю, что это также отвечает на этот вопрос.

Из http://jmfcomputers.co.uk/blog/?p=202

(НОТА: Важно установить для параметров подкатегории значение «Отключено». Это меня немного сбило с толку.)

Для отката вам необходимо сделать следующее:

◦ Сбросьте все локальные расширенные настройки аудита. Если вы сделали это через GPO, сбросьте настройки в этом GPO.

◦ На компьютере 2008 используйте «auditpol / clear», чтобы очистить все локально установленные политики.

◦ Вы должны установить для локальной политики «Аудит: принудительно настроить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметры категории политики аудита». ОТКЛЮЧЕН. Когда вы это сделаете, и он будет применен, вы увидите раздел реестра HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa - SCENoApplyLegacyAuditPolicy = 0 (DWORD)

◦ Затем вам нужно удалить файлы audit.csv. Для политики на основе домена это будет в SYSVOL

◦ \ [Домен] \ sysvol [Домен] \ Policies {GUID} \ Machine \ Microsoft \ Windows NT \ Audit

◦ Для локальных политик удалите Audit.csv из всех этих мест. Некоторые могут быть скрыты, но они есть !!

◦ C: \ Windows \ security \ audit

◦ C: \ Windows \ System32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit

Теперь перезагрузитесь или «gpupdate / force», и вы снова должны вернуться к началу.

Между прочим, как только у вас есть машина 2008 R2, снова применяющая старые политики аудита, я бы посоветовал установить для политики «Аудит: принудительно настроить подкатегорию политики аудита (Windows Vista или более позднюю версию), чтобы переопределить настройки категории политики аудита» обратно на значение по умолчанию, не определенное. . Таким образом, когда вы в будущем продвинетесь с настройками расширенного аудита через GPO, у вас не будет случаев, когда серверы 2008 R2 с отключенным этим параметром, которые были «исправлены», не будут применять новые расширенные настройки аудита. Для этого просто удалите значение DWORD SCENoApplyLegacyAuditPolicy. В локальной политике вы увидите, что политика вернулась к «не определена».

Похоже, это восстановило аудит до уровня, на котором он был до включения расширенного аудита в нашей сети.

Я хотел сделать то же самое и включил расширенные политики аудита. В расширенной политике аудита роли меняются местами: вы указываете, что хотите, вместо того, чтобы фиксировать все. Поскольку это работает только с Vista и выше, вы можете отделить его от политик XP (для пояснения, если ничего другого).

Для этого вы должны установить

Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy

Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings

затем настройте

Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies

Например, вы захотите перейти в Object Access и выбрать, что вы хотите проверять.

Object Access: 
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)