Erweiterte Sicherheitsüberwachungsrichtlinie gilt nicht für Win7

Ausgabe

Ich versuche, ein Gruppenrichtlinienobjekt mit erweiterten Sicherheitsüberwachungsrichtlinienkonfigurationen auf einen Windows 7-Client anzuwenden, aber die Einstellungen werden nicht angewendet.

Ich habe meine Arbeit anhand dieses Artikels noch einmal überprüft -http://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx

Ich habe Audit aktiviert: Erzwinge die Unterkategorieeinstellungen der Überwachungsrichtlinie (Windows Vista oder höher), um die Kategorieeinstellungen der Überwachungsrichtlinie zu überschreiben

Wenn ich auditpol.exe /get /category:* ausführe, sehe ich, dass nur die standardmäßigen erweiterten Überwachungseinstellungen angewendet werden, nicht die, die ich in der neuen Gruppenrichtlinie festgelegt habe. Ich weiß, dass die Gruppenrichtlinie selbst auf den Computer angewendet wird, weil andere Einstellungen in der Gruppenrichtlinie vorhanden sind und RSOP anzeigt, dass die Gruppenrichtlinie erfolgreich angewendet wurde.

Wir haben ein GPO weiter oben in der OU-Struktur, das einige erweiterte Audit-Einstellungen anwendet, also dachte ich, dass es aus irgendeinem Grund stört oder überschreibt, aber sie werden auch nicht in auditpol.exe /get /category:* angezeigt. Ich habe auditpol.exe /clear ausgeführt, wodurch die Richtlinie gelöscht wird.

| |

Nach auditpol.exe /clear

|

Kategorie-/Unterkategorie-Einstellung

System

Sicherheitssystemerweiterung, keine Überwachung

Systemintegrität Keine Überwachung

IPsec-Treiber, keine Überwachung

Andere Systemereignisse Keine Überwachung

Sicherheitsstatusänderung, keine Überwachung

Anmelden/Abmelden

Anmeldung - Keine Überwachung

Abmelden Keine Überwachung

Kontosperrung, keine Überwachung

IPsec-Hauptmodus, keine Überwachung

IPsec-Schnellmodus, keine Überwachung

IPsec-Erweiterter Modus, keine Überwachung

Spezielle Anmeldung, keine Überwachung

Andere Anmelde-/Abmeldeereignisse Keine Überwachung

Netzwerkrichtlinienserver, keine Überwachung

Objektzugriff

Dateisystem, keine Überwachung

Registrierungsnummernprüfung

Kernelobjekt - Keine Überwachung

SAM Keine Prüfung

Zertifizierungsdienste Kein Auditing

Anwendung generiert, keine Überwachung

Handle-Manipulation Kein Auditing

Dateifreigabe, keine Überwachung

Filterplattform Paketverlust Keine Überwachung

Filtern der Plattformverbindung, keine Überwachung

Andere Objektzugriffsereignisse Keine Überwachung

Detaillierte Dateifreigabe, keine Überwachung

Nutzung von Berechtigungen

Verwendung vertraulicher Berechtigungen, keine Überwachung

Nicht vertrauliche Privilegiennutzung, keine Überwachung

Andere Ereignisse zur Verwendung von Berechtigungen Keine Überwachung

Detailliertes Tracking

Prozessbeendigung Keine Überwachung

DPAPI-Aktivität, keine Überwachung

RPC-Ereignisse, keine Überwachung

Prozesserstellung Keine Überwachung

Richtlinienänderung

Änderung der Überwachungsrichtlinie Keine Überwachung

Änderung der Authentifizierungsrichtlinie, keine Überwachung

Änderung der Autorisierungsrichtlinie, keine Überwachung

MPSSVC-Richtlinienänderung auf Regelebene, keine Überwachung

Filtern von Plattformrichtlinienänderungen, keine Überwachung

Andere Ereignisse zur Richtlinienänderung Keine Überwachung

Kontoverwaltung

Benutzerkontenverwaltung Keine Überwachung

Computer-Account-Management, keine Überwachung

Sicherheitsgruppenverwaltung, keine Überwachung

Verteilergruppenverwaltung, keine Überwachung

Anwendungsgruppenverwaltung, keine Überwachung

Andere Account-Management-Ereignisse Keine Überwachung

Änderungen am DS Access-Verzeichnisdienst – Keine Überwachung

Verzeichnisdienstreplikation, keine Überwachung

Detaillierte Verzeichnisdienstreplikation, keine Überwachung

Verzeichnisdienstzugriff, keine Überwachung

Kontoanmeldung

Kerberos Service Ticket-Operationen Keine Überwachung

Andere Kontoanmeldeereignisse Keine Überwachung

Kerberos-Authentifizierungsdienst, keine Überwachung

Validierung der Anmeldeinformationen, keine Überwachung

Ich habe dann ein gpupdate /force ausgeführt und neu gestartet, aber AuditPol zeigt immer noch „keine Überwachung“ für alle Einstellungen an.

Ich habe auch die Datei audit.csv gelöscht, die die Einstellungen des GPO weiter oben in der Struktur zu enthalten scheint (obwohl ich gelesen habe, dass sie nur lokale Einstellungen enthält), aber nicht das neue GPO, in C:\Windows\security\audit und dann ein gpupdate /force ausgeführt. Nach dem Ausführen von gpupdate /force wurde die Datei wiederhergestellt und zeigte die Standardeinstellungen und die erweiterten Überwachungseinstellungen des GPO weiter oben in der OU-Struktur, nicht die neuen GPO-Einstellungen, aber auditpol zeigte immer noch keine Überwachung für alle Einstellungen an. Außerdem war das Änderungsdatum der Datei audit.csv Monate alt, also vermute ich, dass es nur die Informationen aus dem ursprünglichen GPO zieht? Ich habe versucht, das neue GPO durchzusetzen und höher einzustufen, aber es gilt immer noch nicht.

Umfeld

Windows 7 SP1-Client und Windows 2008R2 DC

Jede Hilfe wird geschätzt.