Restaurar políticas de auditoria legadas no Windows Server 2008 R2

Question

Restaurar políticas de auditoria legadas no Windows Server 2008 R2

#1 resposta do (1 votos)
#2 resposta do (0 votos)

2

Recentemente, eu estava tentando reduzir o spam das minhas auditorias de segurança desabilitando a auditoria de "Filtring Platform Packet Drop". Em uma semana, recebo o suficiente dessas auditorias para preencher um arquivo de log de 200 MB. Eu tentei desativar isso com uma política de auditoria avançada. Desconhecido para mim, o sistema está atualmente usando o sistema de auditoria legado, e essa política de auditoria avançada eliminou todas as minhas auditorias. Eu propaguei isso usando a política de grupo, já que todas as nossas políticas são definidas dessa maneira, então também matou minhas máquinas com Windows 7.

Consegui restaurar a auditoria em minhas máquinas com Windows 7 e tentei aplicar a mesma correção em meu servidor de 2008, mas tudo que vejo é um monte de eventos de "Política de auditoria foi alterada". A correção que funcionou para as 7 máquinas é o método 2 .

Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Right-click SCENoApplyLegacyAuditPolicy, and then click Modify.
Type 0 in the Value data box, and then click OK.

auditpol.exe /get /category:* informa que não há auditoria ativada em meu sistema.

Como posso restaurar a auditoria na minha máquina sem precisar restaurar a máquina para uma imagem de disco rígido muito desatualizada?

windows-server-2008 audit group-policy

por Drise 05.12.2013 / 22:24

2 respostas

Tags windows-server-2008 audit group-policy

nginx + php-fpm (chroot). Nenhum arquivo de entrada especificado Datastores iSCSI não encontrados após falha de energia

score 1 · Answer 1

Vou repetir a resposta para minha pergunta como eu não estava satisfeito com a resposta dada aqui inicialmente. Eu acredito que isso também responde a essa pergunta.

De link

( OBSERVAÇÃO: Importante para definir as configurações da subcategoria como "Disabled". Isso me tropeçou um pouco.)

In order to roll back you will need to do the following:

◦ Reset all of your local advanced audit settings. If you did this via GPO, reset the settings in this GPO.

◦ On the 2008 machine use “auditpol /clear” to clear any locally set policies.

◦ You must set the local policy “Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings” to DISABLED. When you do this and it is applied you will see the registry key HKLM\SYSTEM\CurrentControlSet\Control\Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)

◦ Then you need to delete the audit.csv files. For domain based policy this will be in SYSVOL

◦ \[Domain]\sysvol[Domain]\Policies{GUID}\Machine\Microsoft\Windows NT\Audit

◦ For local policies delete the Audit.csv from all of these locations. Some may be hidden, but they are there!!

◦ C:\Windows\security\audit

◦ C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit

Now reboot or “gpupdate /force” and you should be back to the start again.

Incidentally, once you have got the 2008 R2 machine applying the old Audit policies again I would advise setting the policy “Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings” back to the default of not defined. This way when you move forward with the Advanced Audit settings in the future via GPO you will not have cases where 2008 R2 servers that have this setting disabled that were ”fixed” then will not apply the new advanced audit settings. In order to do this just delete the SCENoApplyLegacyAuditPolicy DWORD value. You will see in the local policy that this has set the policy back to “not defined”.

Isso parece ter restaurado a auditoria ao ponto em que estava antes de ativar a auditoria avançada em nossa rede.

score 0 · Answer 2

Eu queria fazer exatamente o mesmo e ativar as políticas de auditoria avançadas. Com a política de Auditoria avançada, as funções são invertidas, pois você especifica o que deseja em vez de capturar tudo. Porque isso só funciona com o Vista e acima, você pode querer separá-lo das políticas XP (para esclarecimento, se nada mais).

Para fazer isso, você definiria

Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy

Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings

configure então

Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies

Por exemplo, você desejará acessar o Object Access e escolher o que deseja ser auditado

Object Access: 
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)