Windows: Como saber de onde as políticas listadas no auditpol estão vindo?

Navegue suas respostas
3

Vou começar com: Eu sou administrador do Linux. Windows para mim é como eu dirigindo um carro do Reino Unido - opera principalmente o mesmo, mas o volante, botões e alavancas estão no lugar errado e os rótulos são escritos de forma engraçada.

Eu tenho um servidor que é um membro do domínio. Há o GPO aplicado no domínio. Normal o suficiente.

Quando executo o auditpol neste servidor, vejo as políticas definidas que não estão definidas no secpol.msc e não estão definidas no domínio do GPO. Também comparei a lista de GPO aplicada da execução de gpresult e descobri que há apenas três GPOs sendo aplicados. (Esta lista de 3 GPO era a lista que eu esperava ver, o que era bom).

Exemplo:

Executar no servidor membro: 

PS C:\Windows\system32> .\auditpol.exe /get /category:\*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success and Failure
...(truncated)...

e 

PS C:\Windows\system32> .\gpresult.exe /v /r /scope computer
...(truncated)...
RSOP data for CORP\fflintstone on MGMTWIN01A : Logging Mode
-----------------------------------------------------------

OS Configuration:            Member Server
OS Version:                  10.0.14393
Site Name:                   XYZ
Roaming Profile:             N/A
Local Profile:               C:\Users\fflintstone
Connected over a slow link?: No


COMPUTER SETTINGS
------------------
    CN=MGMTWIN01A,OU=Windows,OU=Servers,DC=corp,DC=example,DC=com
    Last time Group Policy was applied: 11/2/2018 at 2:13:01 PM
    Group Policy was applied from:      corpdc01a.corp.example.com
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        CORP
    Domain Type:                        Windows 2008 or later
...(truncated)...
    Applied Group Policy Objects
    -----------------------------
        Default Domain Policy (CORP)
        Windows Allow RDP Access
        Windows Startup Script

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)
...(truncated)...

Os três GPOs listados por gpreseult como "aplicados" não contêm nenhuma das configurações listadas como "Sucesso" ou "Sucesso e Falha" no meu exemplo de fragmento de auditpol.

Onde eles estão sendo definidos? Como posso rastrear isso?

    
por JDS 02.11.2018 / 16:27

2 respostas

1

Uma instalação limpa do Windows 2016 inclui uma política de auditoria integrada com as seguintes configurações padrão: 

System
  Security System Extension               No Auditing   
  System Integrity                        Success and Failure    
  IPsec Driver                            No Auditing    
  Other System Events                     Success and Failure    
  Security State Change                   Success

Logon/Logoff
  Logon                                   Success and Failure    
  Logoff                                  Success    
  Account Lockout                         Success    
  IPsec Main Mode                         No Auditing    
  IPsec Quick Mode                        No Auditing    
  IPsec Extended Mode                     No Auditing    
  Special Logon                           Success    
  Other Logon/Logoff Events               No Auditing    
  Network Policy Server                   Success and Failure    
  User / Device Claims                    No Auditing    
  Group Membership                        No Auditing

Object Access
  File System                             No Auditing    
  Registry                                No Auditing    
  Kernel Object                           No Auditing    
  SAM                                     No Auditing    
  Certification Services                  No Auditing    
  Application Generated                   No Auditing    
  Handle Manipulation                     No Auditing    
  File Share                              No Auditing    
  Filtering Platform Packet Drop          No Auditing    
  Filtering Platform Connection           No Auditing    
  Other Object Access Events              No Auditing    
  Detailed File Share                     No Auditing
  Removable Storage                       No Auditing    
  Central Policy Staging                  No Auditing

Privilege Use
  Non Sensitive Privilege Use             No Auditing    
  Other Privilege Use Events              No Auditing    
  Sensitive Privilege Use                 No Auditing    

Detailed Tracking
  Process Creation                        No Auditing    
  Process Termination                     No Auditing    
  DPAPI Activity                          No Auditing    
  RPC Events                              No Auditing    
  Plug and Play Events                    No Auditing    
  Token Right Adjusted Events             No Auditing    

Policy Change
  Audit Policy Change                     Success    
  Authentication Policy Change            Success          
  Authorization Policy Change             No Auditing
  MPSSVC Rule-Level Policy Change         No Auditing    
  Filtering Platform Policy Change        No Auditing    
  Other Policy Change Events              No Auditing

Account Management
  Computer Account Management             Success    
  Security Group Management               Success    
  Distribution Group Management           No Auditing    
  Application Group Management            No Auditing    
  Other Account Management Events         No Auditing    
  User Account Management                 Success

DS Access
  Directory Service Access                Success    
  Directory Service Changes               No Auditing    
  Directory Service Replication           No Auditing    
  Detailed Directory Service Replication  No Auditing    

Account Logon
  Kerberos Service Ticket Operations      Success    
  Other Account Logon Events              No Auditing    
  Kerberos Authentication Service         Success    
  Credential Validation                   Success

Na ausência de qualquer política de grupo de auditoria avançada (local ou domínio), você pode modificar a política interna usando o comando auditpol /set . Tanto quanto eu posso ver, auditpol é também a única maneira de ver a política interna.

Quando e se qualquer política de grupo de auditoria avançada é aplicada ao servidor, a política de auditoria interna é descartada e todas as configurações de auditoria são desativadas, exceto aquelas que foram explicitamente habilitadas por meio da política de grupo. [Não está claro para mim em que circunstâncias, se houver, esse processo é reversível; Ainda estou investigando.] Você ainda pode temporariamente modificar as configurações de auditoria usando auditpol /set e / ou a política de auditoria legada local, mas essas alterações serão descartadas na próxima vez que a política de grupo for processada.

Pelo que parece, seu servidor ainda está usando a política de auditoria padrão. Portanto, as políticas que você está vendo são aquelas que são criadas em uma instalação limpa do Windows.

    
por 05.11.2018 / 05:05
0

Essas configurações também podem ser definidas na política local. Abra gpedit.msc em um PC afetado e procure as configurações lá.

    
por 02.11.2018 / 16:48

Tags

O relógio da VM do Compute Engine é executado rapidamente e ganha 15 segundos por hora (ou cerca de 1 segundo a cada 4 minutos) Por que o eval não está funcionando com a substituição de comandos?