Recientemente, estaba intentando reducir el spam de mis auditorías de seguridad deshabilitando la auditoría de "Filtering Platform Packet Drop". En una semana, obtengo suficientes auditorías como para llenar un archivo de registro de 200 Mb. Intenté desactivar esto con una Política de auditoría avanzada. Sin que yo lo sepa, el sistema utiliza actualmente el sistema de auditoría heredado y esta política de auditoría avanzada eliminó todas mis auditorías. Propagué esto usando la política de grupo ya que todas nuestras políticas están configuradas de esta manera, por lo que también eliminó mis máquinas con Windows 7.
Pude restaurar la auditoría en mis máquinas con Windows 7 e intenté aplicar la misma solución a mi servidor de 2008, pero lo único que veo es un montón de eventos de "La política de auditoría ha cambiado". La solución que funcionó para las 7 máquinas esmétodo 2.
Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Right-click SCENoApplyLegacyAuditPolicy, and then click Modify.
Type 0 in the Value data box, and then click OK.
auditpol.exe /get /category:*informa que no hay ninguna auditoría habilitada en mi sistema.
¿Cómo puedo restaurar la auditoría en mi máquina sin tener que restaurarla a una imagen de disco duro muy desactualizada?
Respuesta1
Voy a repetir la respuesta ami preguntaya que no estaba satisfecho con la respuesta dada aquí inicialmente. Creo que esto también responde a esta pregunta.
Dehttp://jmfcomputers.co.uk/blog/?p=202
(NOTA:Es importante establecer la configuración de la subcategoría en "Desactivado". Eso me hizo tropezar un poco.)
Para retroceder deberá hacer lo siguiente:
◦ Restablezca todas sus configuraciones de auditoría avanzadas locales. Si hizo esto a través de GPO, restablezca la configuración en este GPO.
◦ En la máquina de 2008, utilice “auditpol /clear” para borrar cualquier política establecida localmente.
◦ Debe configurar la política local “Auditoría: forzar la configuración de la subcategoría de la política de auditoría (Windows Vista o posterior) para anular la configuración de la categoría de la política de auditoría” enDESACTIVADO. Cuando haga esto y se aplique, verá la clave de registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)
◦ Luego deberá eliminar los archivos audit.csv. Para la política basada en dominio, esto estará en SYSVOL
◦ \[Dominio]\sysvol[Dominio]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit
◦ Para políticas locales, elimine Audit.csv de todas estas ubicaciones. ¡¡Algunos pueden estar ocultos, pero están ahí!!
◦ C:\Windows\seguridad\auditoría
◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit
Ahora reinicie o “gpupdate /force” y debería volver al inicio.
Por cierto, una vez que haya vuelto a aplicar las antiguas políticas de auditoría en la máquina 2008 R2, recomendaría configurar la política "Auditoría: forzar la configuración de subcategoría de la política de auditoría (Windows Vista o posterior) para anular la configuración de la categoría de la política de auditoría" de nuevo al valor predeterminado de no definido. . De esta manera, cuando avance con la configuración de auditoría avanzada en el futuro a través de GPO, no tendrá casos en los que los servidores 2008 R2 que tienen esta configuración deshabilitada y que fueron "reparados" no aplicarán la nueva configuración de auditoría avanzada. Para hacer esto, simplemente elimine el valor DWORD SCENoApplyLegacyAuditPolicy. Verá en la política local que esto ha vuelto a establecer la política en "no definida".
Esto parece haber restablecido la auditoría al punto en el que se encontraba antes de habilitar la auditoría avanzada en nuestra red.
Respuesta2
Quería hacer exactamente lo mismo y habilité las políticas de auditoría avanzadas. Con la política de auditoría avanzada, los roles se invierten: usted especifica lo que desea en lugar de capturarlo todo. Debido a que esto sólo funciona con Vista y versiones posteriores, es posible que desee separarlo de las políticas de XP (para mayor claridad, al menos).
Para hacer eso, establecerías
Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy
Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings
luego configurar
Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies
Por ejemplo, querrá ir a Acceso a objetos y elegir lo que desea que se audite.
Object Access:
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)