Configuração errada de políticas de auditoria avançadas; voltar ao básico?

5

Não acredito que fiz isso ... Defini uma política de auditoria avançada em nosso GPO e encerrei todas as nossas políticas básicas. Do Technet :

After you apply advanced audit policy settings by using Group Policy, you can only reliably set system audit policy for the computer by using the advanced audit policy settings.

Parece estranho para mim que não há uma maneira de dizer: "deixa pra lá, reverter para a auditoria básica". Não estaremos restaurando toda a rede para backups antigos, já que faz muito tempo desde que a mudança foi implementada.

Uma pergunta semelhante foi feita aqui em serverfault mas a resposta parece ser "configurar auditoria avançada para executar da mesma maneira". Eu farei isso se não tiver outra opção, mas prefiro restaurar a auditoria básica.

    
por Shrout1 26.09.2014 / 14:51

1 resposta

4

Ok, parece que encontrei a resposta. Importante para definir as configurações da subcategoria como "Desativado". O artigo de technet vinculado nos comentários para a resposta sugere uma configuração incorreta ... Isso me tropeçou por um tempo.

De link

In order to roll back you will need to do the following:

◦ Reset all of your local advanced audit settings. If you did this via GPO, reset the settings in this GPO.

◦ On the 2008 machine use “auditpol /clear” to clear any locally set policies.

◦ You must set the local policy “Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings” to DISABLED. When you do this and it is applied you will see the registry key HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)

◦ Then you need to delete the audit.csv files. For domain based policy this will be in SYSVOL

◦ \[Domain]\sysvol[Domain]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit

◦ For local policies delete the Audit.csv from all of these locations. Some may be hidden, but they are there!!

◦ C:\Windows\security\audit

◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit

Now reboot or “gpupdate /force” and you should be back to the start again.

Incidentally, once you have got the 2008 R2 machine applying the old Audit policies again I would advise setting the policy “Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings” back to the default of not defined. This way when you move forward with the Advanced Audit settings in the future via GPO you will not have cases where 2008 R2 servers that have this setting disabled that were ”fixed” then will not apply the new advanced audit settings. In order to do this just delete the SCENoApplyLegacyAuditPolicy DWORD value. You will see in the local policy that this has set the policy back to “not defined”.

Isso parece ter restaurado a auditoria ao ponto em que estava antes de ativar a auditoria avançada em nossa rede.

    
por 30.09.2014 / 22:02