Recentemente, eu estava tentando reduzir o spam das minhas auditorias de segurança, desativando a auditoria de "Filtering Platform Packet Drop". Em uma semana, recebo o suficiente dessas auditorias para preencher um arquivo de log de 200 MB. Tentei desabilitar isso com uma Política de Auditoria Avançada. Sem que eu saiba, o sistema está atualmente usando o sistema de auditoria legado e essa política de auditoria avançada eliminou todas as minhas auditorias. Eu propaguei isso usando a política de grupo, já que todas as nossas políticas são definidas dessa forma, então isso também matou minhas máquinas com Windows 7.
Consegui restaurar a auditoria em minhas máquinas com Windows 7 e tentei aplicar a mesma correção ao meu servidor de 2008, mas tudo que vejo são vários eventos "A política de auditoria foi alterada". A correção que funcionou para as 7 máquinas émétodo 2.
Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Right-click SCENoApplyLegacyAuditPolicy, and then click Modify.
Type 0 in the Value data box, and then click OK.
auditpol.exe /get /category:*relata que não há auditoria habilitada em meu sistema.
Como posso restaurar a auditoria em minha máquina sem precisar restaurar a máquina para uma imagem de disco rígido muito desatualizada?
Responder1
Vou repetir a resposta paraminha perguntapois não fiquei satisfeito com a resposta dada aqui inicialmente. Acredito que isso também responde a essa pergunta.
Dehttp://jmfcomputers.co.uk/blog/?p=202
(OBSERVAÇÃO:Importante definir as configurações da subcategoria como “Desativado”. Isso me deixou um pouco confuso.)
Para reverter, você precisará fazer o seguinte:
◦ Redefina todas as configurações de auditoria avançadas locais. Se você fez isso via GPO, redefina as configurações deste GPO.
◦ Na máquina de 2008, use “auditpol /clear” para limpar quaisquer políticas definidas localmente.
◦ Você deve definir a política local “Auditoria: Forçar configurações de subcategoria de política de auditoria (Windows Vista ou posterior) para substituir configurações de categoria de política de auditoria” comoDESABILITADO. Ao fazer isso e aplicar, você verá a chave de registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)
◦ Em seguida, você precisa excluir os arquivos audit.csv. Para política baseada em domínio, isso estará em SYSVOL
◦ \[Domínio]\sysvol[Domínio]\Policies{GUID}\Máquina\Microsoft\Windows NT\Audit
◦ Para políticas locais, exclua Audit.csv de todos esses locais. Alguns podem estar escondidos, mas estão lá!!
◦ C:\Windows\segurança\auditoria
◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit
Agora reinicie ou “gpupdate /force” e você deverá voltar ao início.
A propósito, depois que a máquina 2008 R2 aplicar as antigas políticas de auditoria novamente, eu recomendaria definir a política “Auditoria: Forçar as configurações de subcategoria da política de auditoria (Windows Vista ou posterior) para substituir as configurações da categoria da política de auditoria” de volta ao padrão de não definido . Dessa forma, quando você avançar com as configurações de Auditoria Avançada no futuro via GPO, você não terá casos em que servidores 2008 R2 que tenham essa configuração desativada que foi “corrigida” não aplicarão as novas configurações de auditoria avançada. Para fazer isso, basta excluir o valor SCENoApplyLegacyAuditPolicy DWORD. Você verá na política local que isso fez com que a política voltasse para “não definida”.
Isso parece ter restaurado a auditoria ao ponto em que estava antes de permitir a auditoria avançada em nossa rede.
Responder2
Eu queria fazer exatamente a mesma coisa e habilitei políticas de auditoria avançadas. Com a política de auditoria avançada, as funções são invertidas, pois você especifica o que deseja em vez de capturar tudo. Como isso só funciona com o Vista e superior, você pode querer separá-lo das políticas do XP (para esclarecimento, pelo menos).
Para fazer isso, você definiria
Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy
Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings
então configure
Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies
Por exemplo, você vai querer ir para Object Access e escolher o que deseja auditar
Object Access:
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)