Windows Server 2008 R2 で従来の監査ポリシーを復元する

私は答えを繰り返します私の質問最初にここで与えられた答えに満足しなかったからです。これでこの質問にも答えられたと思います。

からhttp://jmfcomputers.co.uk/blog/?p=202

（注記：サブカテゴリ設定を「無効」にすることが重要です。ちょっと困りました。

ロールバックするには、次の手順を実行する必要があります。

◦ ローカルの高度な監査設定をすべてリセットします。GPO 経由でこの操作を行った場合は、この GPO の設定をリセットします。

◦ 2008 マシンでは、「auditpol /clear」を使用して、ローカルに設定されたポリシーをすべてクリアします。

◦ ローカルポリシー「監査: 監査ポリシーのサブカテゴリ設定を強制して監査ポリシーのカテゴリ設定を上書きする (Windows Vista 以降)」を次のように設定する必要があります。無効これを実行して適用すると、レジストリ キー HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD) が表示されます。

◦ 次に、audit.csv ファイルを削除する必要があります。ドメインベースのポリシーの場合、これは SYSVOL にあります。

◦ \[ドメイン]\sysvol[ドメイン]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit

◦ ローカル ポリシーの場合は、これらのすべての場所から Audit.csv を削除します。一部は非表示になっている可能性がありますが、そこに存在します。

◦ C:\Windows\security\audit

◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit

ここで再起動するか、「gpupdate /force」を実行すると、再び開始状態に戻ります。

ちなみに、2008 R2 マシンに古い監査ポリシーを再度適用したら、ポリシー「監査: 監査ポリシーのサブカテゴリ設定を強制して (Windows Vista 以降)、監査ポリシーのカテゴリ設定を上書きする」を既定の未定義に戻すことをお勧めします。こうすることで、今後 GPO 経由で高度な監査設定を進めるときに、この設定が無効になっている 2008 R2 サーバーが「修正」され、新しい高度な監査設定が適用されないという事態は発生しません。これを行うには、SCENoApplyLegacyAuditPolicy DWORD 値を削除するだけです。ローカル ポリシーで、ポリシーが「未定義」に戻ったことがわかります。

これにより、ネットワーク上で高度な監査を有効にする前の状態に監査が復元されたようです。

私もまったく同じことをしたかったので、高度な監査ポリシーを有効にしました。高度な監査ポリシーでは、役割が逆転し、すべてをキャプチャするのではなく、必要なものを指定します。これは Vista 以降でのみ機能するため、XP ポリシーとは切り離すことをお勧めします (少なくとも明確にするため)。

そのためには、設定します

Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy

Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings

次に設定

Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies

たとえば、オブジェクトアクセスに移動して、監査対象を選択します。

Object Access: 
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)