AD审计手动配置审核策略
手动配置审核策略,以确保在发生任何活动时记录事件。
1. 配置高级审核策略
高级审核策略可帮助管理员对日志中记录的活动进行精细控制,从而帮助减少事件干扰。建议在 Windows Server 2008 及更高版本上运行的域控制器上配置高级审核策略。
- 使用域管理员凭据登录到具有组策略管理控制台 (GPMC) 的任何计算机 →打开 GPMC →右键单击“默认域控制器策略”→“编辑”。
- 在“组策略管理编辑器”→“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“高级审核策略配置”→“审核策略”中,双击相关策略设置。
- 导航到右窗格→右键单击相关的子类别,然后单击“属性”→选择“成功”、“失败”或两者;如下表所示。
| 分类 | 子分类 | 审核事件 |
|---|---|---|
| 帐户登录 |
| 成功与失败 |
| 账户管理 |
| 成功 |
| 成功与失败 | |
| 详细跟踪 |
| 成功 |
| DS 访问 |
| 成功 |
| 登录/注销 |
| 成功与失败 |
| 成功 | |
| 对象访问 |
| 成功 |
| 政策变更 |
| 成功 |
| 系统 |
| 成功 |
图像显示:“帐户登录”类别→“审核 Kerberos 身份验证服务”子类别→“成功”和“失败”已配置。
2. 实施高级审核策略
使用高级审核策略时,请确保强制使用旧审核策略。
- 使用域管理员凭据登录到具有组策略管理控制台 (GPMC) 的任何计算机 →打开 GPMC →右键单击“默认域控制器策略”→“编辑”。
- 在组策略管理编辑器中→“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”。
- 导航到右窗格→右键单击“审核:强制审核策略子类别设置”→“属性”→“启用”。
3. 配置旧审计策略
用于配置高级审核策略的选项在 Windows Server 2003 及更低版本中不可用。因此,对于这些系统,您需要配置旧版审核策略。
- 使用域管理员凭据登录到具有组策略管理控制台 (GPMC) 的任何计算机 →打开 GPMC →右键单击“默认域控制器策略”→“编辑”。
- 在组策略管理编辑器→“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→双击“审核策略”。
- 导航到右窗格→右键单击相关策略,然后单击“属性”→选择“成功”、“失败”或两者;如下表所示-
| 类别 | 审核事件 |
|---|---|
| 帐户登录 | 成功与失败 |
| 审核登录/注销 | 成功与失败 |
| 账户管理 | 成功 |
| 目录服务访问 | 成功 |
| 过程跟踪 | 成功 |
| 对象访问 | 成功 |
| 系统事件 | 成功 |
图像显示:审核帐户登录事件类别→同时配置了“成功”和“失败”。
注意:要启用NTLM事件的审核,请登录ADAudit Plus的Web控制台 → 单击“支持”选项卡> 在“支持信息”下,单击“更多>” 在“配置”下,单击“启用/禁用配置设置”>“启用 NTLM 审核”。
