최근에는 "필터링 플랫폼 패킷 드롭" 감사를 비활성화하여 보안 감사의 스팸을 줄이려고 노력했습니다. 일주일 안에 200Mb 로그 파일을 채울 수 있을 만큼 충분한 감사를 받았습니다. 고급 감사 정책을 사용하여 이를 비활성화해 보았습니다. 나도 모르는 사이에 시스템은 현재 레거시 감사 시스템을 사용하고 있으며 이 고급 감사 정책으로 인해 모든 감사가 종료되었습니다. 모든 정책이 이런 식으로 설정되어 있으므로 그룹 정책을 사용하여 이를 전파하여 Windows 7 컴퓨터도 종료했습니다.
Windows 7 컴퓨터에서 감사를 복원할 수 있었고 2008 서버에 동일한 수정 사항을 적용하려고 시도했지만 "감사 정책이 변경되었습니다"라는 이벤트만 표시됩니다. 7개 시스템에 적용되는 수정 사항은 다음과 같습니다.방법 2.
Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Right-click SCENoApplyLegacyAuditPolicy, and then click Modify.
Type 0 in the Value data box, and then click OK.
auditpol.exe /get /category:*내 시스템에 활성화된 감사가 없다고 보고합니다.
컴퓨터를 매우 오래된 하드 드라이브 이미지로 복원하지 않고도 내 컴퓨터에서 감사를 복원하려면 어떻게 해야 합니까?
답변1
나는 다음에 대한 대답을 반복할 것이다.내 질문처음에 여기에 제공된 답변이 만족스럽지 않았기 때문입니다. 나는 이것이 이 질문에도 답이 된다고 믿습니다.
에서http://jmfcomputers.co.uk/blog/?p=202
(메모:하위 범주 설정을 "사용 안 함"으로 설정하는 것이 중요합니다. 그게 나를 잠시 당황하게 만들었다.)
롤백하려면 다음을 수행해야 합니다.
◦ 모든 로컬 고급 감사 설정을 재설정합니다. GPO를 통해 이 작업을 수행한 경우 이 GPO에서 설정을 재설정하세요.
◦ 2008 시스템에서는 "auditpol /clear"를 사용하여 로컬로 설정된 정책을 모두 지웁니다.
◦ 로컬 정책 "감사: 강제로 감사 정책 하위 범주 설정(Windows Vista 이상)을 사용하여 감사 정책 범주 설정 재정의"를 다음으로 설정해야 합니다.장애가 있는. 이 작업을 수행하고 적용하면 레지스트리 키 HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0(DWORD)이 표시됩니다.
◦ 그런 다음 audit.csv 파일을 삭제해야 합니다. 도메인 기반 정책의 경우 이는 SYSVOL에 있습니다.
◦ \[도메인]\sysvol[도메인]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit
◦ 로컬 정책의 경우 이러한 모든 위치에서 Audit.csv를 삭제합니다. 일부는 숨겨져 있을 수 있지만 거기에 있습니다!!
◦ C:\Windows\security\audit
◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit
이제 재부팅하거나 "gpupdate /force"를 실행하면 다시 시작으로 돌아가야 합니다.
덧붙여서, 이전 감사 정책을 다시 적용하는 2008 R2 컴퓨터를 얻은 후에는 "감사: 강제 감사 정책 하위 범주 설정(Windows Vista 이상)을 감사 정책 범주 설정보다 우선 적용" 정책을 기본값인 정의되지 않음으로 다시 설정하는 것이 좋습니다. . 이렇게 하면 나중에 GPO를 통해 고급 감사 설정을 진행할 때 이 설정이 비활성화되어 "수정"된 2008 R2 서버가 새로운 고급 감사 설정을 적용하지 않는 경우가 발생하지 않습니다. 이렇게 하려면 SCENoApplyLegacyAuditPolicy DWORD 값을 삭제하면 됩니다. 로컬 정책에서 정책이 다시 "정의되지 않음"으로 설정되었음을 확인할 수 있습니다.
이로 인해 네트워크에서 고급 감사를 활성화하기 전의 지점으로 감사가 복원된 것으로 보입니다.
답변2
나는 똑같은 일을 하고 싶었고 고급 감사 정책을 활성화했습니다. 고급 감사 정책을 사용하면 모든 것을 캡처하는 대신 원하는 것을 지정한다는 점에서 역할이 반전됩니다. 이는 Vista 이상에서만 작동하므로 XP 정책과 분리하는 것이 좋습니다(명확한 설명을 위해).
그렇게 하려면 Set
Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy
Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings
그런 다음 구성
Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies
예를 들어 개체 액세스로 이동하여 감사할 항목을 선택합니다.
Object Access:
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)