Недавно я пытался уменьшить спам моих аудитов безопасности, отключив аудит "Filtering Platform Packet Drop". За неделю я получил достаточно этих аудитов, чтобы заполнить файл журнала размером 200 МБ. Я попытался отключить это с помощью расширенной политики аудита. Я не знал, что система в настоящее время использует устаревшую систему аудита, и эта расширенная политика аудита убила все мои аудиты. Я распространил это с помощью групповой политики, поскольку все наши политики настроены таким образом, поэтому это убило и мои машины с Windows 7.
Мне удалось восстановить аудит на моих машинах с Windows 7, и я попытался применить то же исправление к моему серверу 2008, но все, что я вижу, это куча событий «Политика аудита изменилась». Исправление, которое сработало для 7 машин, этометод 2.
Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Right-click SCENoApplyLegacyAuditPolicy, and then click Modify.
Type 0 in the Value data box, and then click OK.
auditpol.exe /get /category:*сообщает, что в моей системе не включен аудит.
Как восстановить аудит на моем компьютере, не восстанавливая его с очень устаревшего образа жесткого диска?
решение1
Я собираюсь повторить ответ намой вопростак как я не был удовлетворен ответом, данным здесь изначально. Я считаю, что это также отвечает на этот вопрос.
Отhttp://jmfcomputers.co.uk/blog/?p=202
(ПРИМЕЧАНИЕ:(Важно установить настройки подкатегории на "Отключено". Это меня немного смутило.)
Для отката вам необходимо сделать следующее:
◦ Сбросьте все локальные расширенные настройки аудита. Если вы сделали это через GPO, сбросьте настройки в этом GPO.
◦ На компьютере 2008 года используйте «auditpol /clear» для очистки всех локально установленных политик.
◦ Необходимо установить локальную политику «Аудит: принудительно использовать параметры подкатегории политики аудита (Windows Vista или более поздняя версия) для переопределения параметров категории политики аудита»НЕПОЛНОЦЕННЫЙ. Когда вы это сделаете и изменения будут применены, вы увидите раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)
◦ Затем вам нужно удалить файлы аудита.csv. Для доменной политики это будет в SYSVOL
◦ \[Домен]\sysvol[Домен]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit
◦ Для локальных политик удалите Audit.csv из всех этих мест. Некоторые могут быть скрыты, но они там!!
◦ C:\Windows\безопасность\аудит
◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit
Теперь перезагрузите компьютер или выполните команду «gpupdate /force», и вы снова вернетесь к началу.
Кстати, как только вы снова заставите машину 2008 R2 применять старые политики аудита, я бы посоветовал вернуть политику «Аудит: принудительно применять параметры подкатегории политики аудита (Windows Vista или более поздняя версия) для переопределения параметров категории политики аудита» к значению по умолчанию «не определено». Таким образом, когда вы в будущем будете работать с расширенными параметрами аудита через GPO, у вас не будет случаев, когда серверы 2008 R2, у которых этот параметр отключен и которые были «исправлены», не будут применять новые расширенные параметры аудита. Для этого просто удалите значение DWORD SCENoApplyLegacyAuditPolicy. В локальной политике вы увидите, что это вернуло политику к значению «не определено».
Судя по всему, это восстановило аудит до того уровня, на котором он находился до включения расширенного аудита в нашей сети.
решение2
Я хотел сделать то же самое и включил Расширенные политики аудита. С расширенной политикой аудита роли меняются местами, так как вы указываете, что хотите, а не захватываете все. Поскольку это работает только с Vista и выше, вы можете захотеть отделить это от политик XP (для ясности, если не для чего-то другого).
Чтобы сделать это, вам нужно установить
Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy
Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings
затем настройте
Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies
Например, вам нужно будет перейти в Object Access и выбрать, что именно вы хотите проверить.
Object Access:
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)