還原 Windows Server 2008 R2 上的舊審核原則

Question 1

我將重複以下問題的答案我的問題因為我對最初給的答案不滿意。我相信這也回答了這個問題。

從http://jmfcomputers.co.uk/blog/?p=202

（筆記：將子類別設定設為「停用」很重要。這讓我有點絆倒。

為了回滾，您需要執行以下操作：

◦ 重置所有本地進階審核設定。如果您透過 GPO 執行此操作，請重設此 GPO 中的設定。

◦ 在 2008 電腦上，使用「auditpol /clear」清除任何本機設定的策略。

◦ 您必須將本機原則「審核：強制審核原則子類別設定（Windows Vista 或更高版本）覆寫稽核原則類別設定」設定為停用。當您執行此操作並套用它時，您將看到登錄項目 HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)

◦ 然後您需要刪除audit.csv 檔案。對於基於網域的策略，這將位於 SYSVOL 中

◦ \[網域]\sysvol[網域]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit

◦ 對於本機策略，請從所有這些位置刪除 Audit.csv。有些可能是隱藏的，但它們確實存在！

◦ C:\Windows\security\audit

◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit

現在重新啟動或“gpupdate /force”，您應該再次回到起點。

順便說一句，一旦您讓2008 R2 電腦再次應用舊的審核策略，我建議將政策「審核：強制審核原則子類別設定（Windows Vista 或更高版本）覆蓋審核原則類別設定」設定回預設值「未定義” 。這樣，當您將來透過 GPO 繼續使用進階審核設定時，您將不會出現停用此設定且「已修復」的 2008 R2 伺服器不會套用新的進階審核設定的情況。為此，只需刪除 SCENoApplyLegacyAuditPolicy DWORD 值即可。您將在本機原則中看到這已將策略設定回「未定義」。

這似乎已將審核恢復到在我們的網路上啟用高級審核之前的狀態。

Answer

我將重複以下問題的答案我的問題因為我對最初給的答案不滿意。我相信這也回答了這個問題。

從http://jmfcomputers.co.uk/blog/?p=202

（筆記：將子類別設定設為「停用」很重要。這讓我有點絆倒。

為了回滾，您需要執行以下操作：

◦ 重置所有本地進階審核設定。如果您透過 GPO 執行此操作，請重設此 GPO 中的設定。

◦ 在 2008 電腦上，使用「auditpol /clear」清除任何本機設定的策略。

◦ 您必須將本機原則「審核：強制審核原則子類別設定（Windows Vista 或更高版本）覆寫稽核原則類別設定」設定為停用。當您執行此操作並套用它時，您將看到登錄項目 HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)

◦ 然後您需要刪除audit.csv 檔案。對於基於網域的策略，這將位於 SYSVOL 中

◦ \[網域]\sysvol[網域]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit

◦ 對於本機策略，請從所有這些位置刪除 Audit.csv。有些可能是隱藏的，但它們確實存在！

◦ C:\Windows\security\audit

◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit

現在重新啟動或“gpupdate /force”，您應該再次回到起點。

順便說一句，一旦您讓2008 R2 電腦再次應用舊的審核策略，我建議將政策「審核：強制審核原則子類別設定（Windows Vista 或更高版本）覆蓋審核原則類別設定」設定回預設值「未定義” 。這樣，當您將來透過 GPO 繼續使用進階審核設定時，您將不會出現停用此設定且「已修復」的 2008 R2 伺服器不會套用新的進階審核設定的情況。為此，只需刪除 SCENoApplyLegacyAuditPolicy DWORD 值即可。您將在本機原則中看到這已將策略設定回「未定義」。

這似乎已將審核恢復到在我們的網路上啟用高級審核之前的狀態。

Question 2

我想做同樣的事情並啟用高級審核策略。使用進階審核策略，角色可以顛倒，您可以指定所需的內容，而不是捕捉所有內容。因為這只適用於 Vista 及更高版本，所以您可能希望將其與 XP 策略分開（為了澄清，如果沒有別的事的話）。

為此，您需要設置

Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy

Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings

然後配置

Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies

例如，您需要前往“物件存取”並選擇要審核的內容

Object Access: 
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)

Answer

我想做同樣的事情並啟用高級審核策略。使用進階審核策略，角色可以顛倒，您可以指定所需的內容，而不是捕捉所有內容。因為這只適用於 Vista 及更高版本，所以您可能希望將其與 XP 策略分開（為了澄清，如果沒有別的事的話）。

為此，您需要設置

Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy

Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings

然後配置

Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies

例如，您需要前往“物件存取”並選擇要審核的內容

Object Access: 
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)

還原 Windows Server 2008 R2 上的舊審核原則

答案1

答案2

相關內容