Computer Configuration
> Policies
> Windows Settings
> Security Settings
> Advanced Audit Policy Configuration
> System Audit Policies - Local Group Policy Object
> Account Logon
> Audit Kerberos Authentication Service
Mas quando olho para meus objetos de GPO (por exemplo, "Diretiva de controlador de domínio padrão"), nem vejo o nó "Configuração de diretiva de auditoria avançada" em "Configurações de segurança".
Eu pesquisei de todas as maneiras que sei como descobrir se esse nó avançado é algo que precisa ser ativado de alguma forma ou se há algum outro motivo para que ele não apareça, mas estou chegando vazio . Tudo o que eu encontrei apenas fala sobre isso como deveria estar sempre lá ...
Isso está em um domínio / floresta de nível funcional do Windows Server 2008, se isso for importante.
Qualquer ajuda é muito apreciada.
EDIT 1: Solicitado pela resposta abaixo do TheCleaner, percebi que nossos CDs são todos de 2008, não R2 (os últimos 2008 restantes em nossa organização), e esse é um novo recurso para 2008 R2.
Eu tentei instalar o GPMC em um servidor membro 2008 R2 e definir a diretiva lá, mas não parece que está sendo aplicado aos DCs de 2008, mesmo depois de um gpupdate / force (tentarei reinicializar hoje à noite para ver se ajuda).
Esta configuração de política de auditoria ("Auditar o Serviço de Autenticação do Kerberos" > "Sucesso" ativado) está disponível em outros lugares em 2008 ou foram adicionadas novas configurações de política em 2008 R2?
EDIT 2: Este artigo do TechNet parece indicar que a configuração de política está disponível apenas no Windows 6.1 (Win7 / 2008R2), mas que os eventos de auditoria devem aparecer em qualquer coisa 6.0 (Vista / 2008) e superior ...
Devo ser mais paciente aguardando a aplicação do GPO ou apenas aguardar a reinicialização?
EDIT 3: Ok, 4 dos meus 5 DCs (todos em execução em 2008) agora estão respeitando a política de auditoria "Audit Kerberos Authentication Service" e estão gerando os eventos do log de segurança que eu preciso para isso trabalhar. Recebi autorização para reiniciar o único DC que ainda não está mostrando os eventos de auditoria do Kerberos, e ainda não está mostrando isso.
Normalmente eu faria um RSoP ou gpresult para ver quais configurações estão sendo / não estão sendo aplicadas a este DC e por que, mas neste caso, ambas omitem as configurações "Advanced Audit Policy Configuration", mesmo quando executadas remotamente no R2 servidor que eu usei para configurá-los ...
Alguma sugestão para solucionar problemas de configurações de GPO aplicáveis em 2008 que não aparecem no GPMC de 2008?
Em um DC 2008 R2, no GPMC, ele deve estar lá por padrão (verifique se você está usando o GPMC em um DC 2008 R2). Você está realmente olhando para baixo o suficiente? Está no final da lista.
Vocêpodeclicarcomobotãodireitodomouseem"Configurações de segurança" e escolher recarregar se não o vir, mas por padrão é em 2008 R2.
Não relacionado ao problema, mas provavelmente vale a pena mencionar:
Importante
Se você aplicar uma política de auditoria avançada usando a Política de Grupo ou usando scripts de logon, não use as configurações básicas de política de auditoria em Políticas Locais \ Política de Auditoria e as configurações avançadas em Configurações de Segurança \ Configuração de Política de Auditoria Avançada.
O uso de configurações de políticas de auditoria avançadas e básicas pode causar resultados inesperados.
Se você usar as configurações de Diretiva de Auditoria Avançada ou usar scripts de logon (para computadores que executam o Windows Vista ou o Windows Server 2008) para aplicar a diretiva de auditoria avançada, ative as configurações Auditoria: Forçar subcategorias de diretiva de auditoria (Windows Vista ou posterior) para substituir a configuração de política de configurações de categoria de política de auditoria em Políticas locais \ Opções de segurança. Isso evitará conflitos entre configurações semelhantes, forçando a auditoria de segurança básica a ser ignorada.
Perguntas frequentes sobre auditoria de segurança avançada
link