Vor kurzem habe ich versucht, den Spam meiner Sicherheitsprüfungen zu reduzieren, indem ich die Prüfung von „Filtering Platform Packet Drop“ deaktiviert habe. Innerhalb einer Woche bekomme ich so viele dieser Prüfungen, dass eine 200 MB große Protokolldatei gefüllt wäre. Ich habe versucht, dies mit einer erweiterten Prüfungsrichtlinie zu deaktivieren. Mir ist nicht bekannt, dass das System derzeit das alte Prüfungssystem verwendet, und diese erweiterte Prüfungsrichtlinie hat alle meine Prüfungen beendet. Ich habe dies mithilfe der Gruppenrichtlinie verbreitet, da alle unsere Richtlinien auf diese Weise festgelegt sind, sodass auch meine Windows 7-Rechner beendet wurden.
Ich konnte die Überwachung auf meinen Windows 7-Rechnern wiederherstellen und habe versucht, denselben Fix auf meinem 2008-Server anzuwenden, aber alles, was ich sehe, ist eine Reihe von „Überwachungsrichtlinie hat sich geändert“-Ereignissen. Der Fix, der für die 7 Maschinen funktioniert hat, istMethode 2.
Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Right-click SCENoApplyLegacyAuditPolicy, and then click Modify.
Type 0 in the Value data box, and then click OK.
auditpol.exe /get /category:*meldet, dass auf meinem System keine Überwachung aktiviert ist.
Wie kann ich die Überwachung auf meinem Computer wiederherstellen, ohne den Computer auf ein sehr veraltetes Festplattenimage wiederherstellen zu müssen?
Antwort1
Ich wiederhole die Antwort aufmeine Frageda ich mit der hier gegebenen Antwort zunächst nicht zufrieden war. Ich glaube, dies beantwortet auch diese Frage.
Aushttp://jmfcomputers.co.uk/blog/?p=202
(NOTIZ:Wichtig ist, die Unterkategorieeinstellungen auf „Deaktiviert“ zu setzen. Das hat mich ein wenig irritiert.)
Zum Zurücksetzen müssen Sie Folgendes tun:
◦ Setzen Sie alle Ihre lokalen erweiterten Überwachungseinstellungen zurück. Wenn Sie dies über GPO getan haben, setzen Sie die Einstellungen in diesem GPO zurück.
◦ Verwenden Sie auf der 2008-Maschine „auditpol /clear“, um alle lokal festgelegten Richtlinien zu löschen.
◦ Sie müssen die lokale Richtlinie „Überwachung: Erzwinge, dass die Einstellungen der Unterkategorie der Überwachungsrichtlinie (Windows Vista oder höher) die Einstellungen der Kategorie der Überwachungsrichtlinie überschreiben“ aufDEAKTIVIERT. Wenn Sie dies tun und es angewendet wird, sehen Sie den Registrierungsschlüssel HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)
◦ Anschließend müssen Sie die audit.csv-Dateien löschen. Bei domänenbasierten Richtlinien befindet sich dies in SYSVOL
◦ \[Domäne]\sysvol[Domäne]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit
◦ Löschen Sie für lokale Richtlinien die Audit.csv von allen diesen Standorten. Einige sind möglicherweise ausgeblendet, aber sie sind da!!
◦ C:\Windows\security\audit
◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit
Starten Sie nun neu oder führen Sie „gpupdate /force“ aus und Sie sollten wieder am Anfang sein.
Wenn Sie die 2008 R2-Maschine dazu gebracht haben, die alten Überwachungsrichtlinien wieder anzuwenden, würde ich Ihnen übrigens empfehlen, die Richtlinie „Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen (Windows Vista oder höher), um Kategorieeinstellungen der Überwachungsrichtlinie zu überschreiben“ wieder auf den Standardwert „nicht definiert“ zurückzusetzen. Auf diese Weise kommt es nicht vor, dass 2008 R2-Server, bei denen diese Einstellung deaktiviert und „repariert“ war, die neuen erweiterten Überwachungseinstellungen nicht anwenden, wenn Sie in Zukunft über GPO mit den erweiterten Überwachungseinstellungen fortfahren. Löschen Sie dazu einfach den DWORD-Wert SCENoApplyLegacyAuditPolicy. Sie werden in der lokalen Richtlinie sehen, dass die Richtlinie dadurch wieder auf „nicht definiert“ zurückgesetzt wurde.
Dadurch wurde die Überwachung offenbar auf den Stand vor der Aktivierung der erweiterten Überwachung in unserem Netzwerk zurückgesetzt.
Antwort2
Ich wollte genau dasselbe tun und habe erweiterte Überwachungsrichtlinien aktiviert. Mit der erweiterten Überwachungsrichtlinie werden die Rollen vertauscht, indem Sie angeben, was Sie möchten, anstatt alles zu erfassen. Da dies nur mit Vista und höher funktioniert, möchten Sie es möglicherweise von den XP-Richtlinien trennen (zur Verdeutlichung, wenn nichts anderes).
Dazu setzen Sie
Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy
Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings
dann konfigurieren
Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies
Gehen Sie beispielsweise zu Objektzugriff und wählen Sie aus, was geprüft werden soll.
Object Access:
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)