手动配置审计策略
配置需审计的Windows服务器列表
- 打开Active Directory用户和计算机。
- 右键点击域,选择 新建 > 组。
- 在打开的新建对象 - 组窗口中,输入“Log360CloudMS”作为组名,勾选组范围:域本地和组类型:安全。点击确定。
- 右键点击新创建的组,选择 属性 > 成员 > 添加。将所有需审计的Windows服务器添加为该组成员。点击确定。
- 使用域管理员凭据登录任一安装了组策略管理控制台(GPMC)的计算机。
注意:GPMC默认不会安装在工作站和/或启用在成员服务器上,因此建议在Windows域控制器上配置审计策略。否则,请按照本页步骤在所需成员服务器或工作站上安装GPMC。
- 进入 开始 > Windows管理工具 > 组策略管理。
- 在GPMC中,右键点击欲配置组策略的域。选择 创建GPO并在此处链接。打开的新GPO窗口中,输入“Log360CloudMSPolicy”,点击确定。
- 选择Log360CloudMSPolicy GPO。在安全筛选下,选择验证用户,点击移除。在弹出的组策略管理窗口中,选择确定。
- 选择Log360CloudMSPolicy GPO。在安全筛选下,点击添加,选择先前创建的安全组Log360CloudMS。点击确定。
安装组策略管理控制台(GPMC)
必须在运行Log360 Cloud的机器上安装GPMC。请按照以下步骤在运行Log360 Cloud的机器上安装GPMC:
适用于Windows Server 2012及以上版本
- 进入 开始 > 控制面板,选择程序下的 启用或关闭Windows功能。
- 在弹出的添加角色和功能向导窗口中,选择功能。
- 勾选组策略管理,点击下一步。
- 点击安装。
适用于Windows Server 2008和2008 R2
- 进入 开始 > 控制面板,选择程序下的 启用或关闭Windows功能。
- 在服务器管理器窗口中,选择功能 > 添加功能。
- 勾选组策略管理,点击下一步。
- 点击安装。
配置高级审计策略
高级审计策略帮助管理员对哪些活动被记录到日志进行细粒度控制,减少事件噪音。建议在Windows Server 2008及以上版本配置高级审计策略。
- 使用域管理员凭据登录安装了GPMC的任一计算机。打开GPMC,右键点击Log360CloudMSPolicy,选择编辑。
- 在组策略管理编辑器中,依次进入 计算机配置 → 策略 → Windows设置 → 安全设置 → 高级审计策略配置 → 审计策略。双击相关策略设置。
- 导航至右侧窗格,右键点击相关子类别。选择属性,然后按照下表指示选择成功、失败或两者。
| 类别 |
子类别 |
审计事件 |
| 账户管理 |
- 审计计算机账户管理
- 审计分发组管理
- 审计安全组管理
- 审计用户账户管理
|
成功
成功和失败
|
| 详细跟踪 |
|
成功 |
| DS访问 |
|
成功 |
| 登录/注销 |
- 审计登录
- 审计网络策略服务器
- 审计其他登录/注销事件
- 审计注销
|
成功和失败
成功
|
| 对象访问 |
|
成功和失败 |
| 策略更改 |
|
成功 |
| 系统 |
|
成功 |
强制使用高级审计策略
使用高级审计策略时,确保强制覆盖传统审计策略。
- 使用域管理员凭据登录安装了GPMC的任一计算机。打开GPMC,右键点击Log360CloudMSPolicy,选择编辑。
- 在组策略管理编辑器中,依次进入 计算机配置 → 策略 → Windows设置 → 安全设置 → 本地策略 → 安全选项。
- 导航至右侧窗格,右键点击 审计:强制审计策略子类别设置,选择属性,启用该项。
配置传统审计策略
由于Windows Server 2003及更早版本不支持高级审计策略,需为这些服务器配置传统审计策略。
- 使用域管理员凭据登录安装了GPMC的任一计算机。打开GPMC,右键点击Log360CloudMSPolicy,选择编辑。
- 在组策略管理编辑器中,依次进入 计算机配置 → 策略 → Windows设置 → 安全设置 → 本地策略,双击 审计策略。
- 导航至右侧窗格,右键点击相关策略,选择属性,然后按照下表指示选择成功、失败或两者:
| 类别 |
审计事件 |
| 账户登录 |
成功和失败 |
| 审计登录/注销 |
成功和失败 |
| 账户管理 |
成功 |
| 目录服务访问 |
成功 |
| 进程跟踪 |
成功 |
| 对象访问 |
成功 |
| 系统事件 |
成功 |
