Eu configurei várias configurações avançadas de política de auditoria em:
Computer Configuration => Policies => Windows Settings => Security Settings =>
Advanced Audit policy Configuration => Audit Policies => ...
Além disso, a seguinte configuração está definida como "Ativada":
Computer Configuration => Policies => Windows Settings => Security Settings =>
Local Policies => Security Options => Audit: Force audit policy subcategory settings
(Windows Vista or later) to override audit policy category settings.
No entanto, nenhuma das configurações avançadas de auditoria está sendo aplicada. Correndo
auditpol /get /category:*
mostra todas as opções definidas como "Sem Auditoria". Além disso, não há nenhuma das políticas de auditoria reprovadas definidas.
O que me surpreende é que nem gpresult nem rsop.msc mostram a categoria "Política de auditoria avançada". O que eu estou fazendo errado aqui? Estou ficando sem idéias. Agradecemos antecipadamente pela sua contribuição!
[1. Adendo]
Outras configurações configuradas no mesmo objeto de política de grupo estão sendo aplicadas. Assim, as armadilhas comuns podem ser descartadas.
O original do GPO contém configurações do MSS
Criando um novo GPO vazio e definindo apenas os itens de configuração de auditoria avançada, faça-os aparecer no servidor de destino (verificado com o auditpol). Portanto, deve haver algo errado com o próprio GPO.
[2. Adendo]
Versão não funcional de audit.csv:
,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3
Versão de trabalho do audit.csv:
,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3
O que está acontecendo aqui? Quaisquer razões convincentes para não editar este arquivo manualmente?
Eu resolvi o seguinte procedimento:
Eu criei o GPO com falha a partir de um modelo que já havia definido as configurações de auditoria avançadas. Eu acho que havia uma incompatibilidade interna dos GUIDs ...
Sei que essa é uma pergunta mais antiga e que você resolveu o problema de uma maneira diferente, mas o motivo pelo qual não estava funcionando originalmente foi devido a "Auditoria: forçar configurações de subcategoria da política de auditoria" ativadas. Como explicado em este artigo no Technet :
The lack of Object Access auditing is expected: as soon as you start applying Advanced Audit Configuration Policy, legacy policies will be completely ignored. The only way to get a Win7/R2 computer to start using legacy policy is to set the security policy “Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings” to DISABLED. That disables the use of the newer policy type. Then you must clear the existing advanced policy from the machines (auditpol.pol /clear, having a blank audit.csv file, etc). The system isn't optimal, but the intention was never for you to go back.
Postagem antiga, mas acabei de ter e trabalhei com o mesmo problema e não obtive sucesso com a solução aceita.
@matze me fez pensar sobre o back-end do processo de política de auditoria. Eu encontrei o seguinte artigo que expôs o processo em detalhes maravilhosos (eu recomendo a leitura):
Em revisão, descobri que o arquivo %systemroot%\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv estava sendo atualizado corretamente, mas o arquivo %systemroot%\security\audit\audit.csv tinha um registro de data e hora de anos atrás.
Ao observar as propriedades, c:\windows\security\audit\audit.csv foi definido como somente leitura, o que aparentemente impedia que o sistema operacional atualizasse o arquivo.
Para resolver, fiz o seguinte:
Auditpol /backup /file:<file> para fazer um backup da Auditpol auditpol /clear para limpar o Auditpol Gpupdate /force auditpol /get /category:* para garantir que tudo foi limpo Gpupdate /force auditpol /get /category:* para garantir que tudo foi configurado corretamente novamente Para confirmar a correção, fiz uma alteração em uma configuração em GPEDIT, gpupdate novamente, auditpol / get novamente. A mudança apareceu corretamente.
Acabei de me deparar com o mesmo problema. Acabou sendo um problema de ordem de operações. Defina todas as configurações de log avançadas e e, em seguida, configure Auditoria: force as configurações da subcategoria de política de auditoria (Windows Vista ou posterior) a substituir as configurações da categoria de política de auditoria por Enabled. Enquanto outras configurações se aplicavam claramente ao sistema de teste afetado, as configurações de log não. Eles não apareceram no resumo das Configurações, embora tenham aparecido no editor atual.
Fiquei intrigado com isso até trabalhar com o processo e o arquivo XML (que estava quase vazio). As configurações são adicionadas ao arquivo à medida que são feitas , a menos que algo substitua a configuração, como uma configuração principal necessária para ativá-las. Se essa configuração principal estiver em outra parte do GPO, o processo de gravação em alteração poderá não ver toda a política.
Solução: Volte para as configurações avançadas, desative uma configuração e clique em OK, volte e reative-a. A totalidade das configurações de registro será exibida. Feche o editor. O GPO irá para os sistemas afetados na próxima atualização e entrará em vigor na próxima reinicialização.