首页 »
下载PDF
 

AD审计手动配置审核策略

手动配置审核策略,以确保在发生任何活动时记录事件。

1. 配置高级审核策略

高级审核策略可帮助管理员对日志中记录的活动进行精细控制,从而帮助减少事件干扰。建议在 Windows Server 2008 及更高版本上运行的域控制器上配置高级审核策略。

  • 使用域管理员凭据登录到具有组策略管理控制台 (GPMC) 的任何计算机 →打开 GPMC →右键单击“默认域控制器策略”→“编辑”。
  • 在“组策略管理编辑器”→“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“高级审核策略配置”→“审核策略”中,双击相关策略设置。
  • 导航到右窗格→右键单击相关的子类别,然后单击“属性”→选择“成功”、“失败”或两者;如下表所示。

分类 子分类 审核事件
帐户登录
  • 审核 Kerberos 身份验证服务
 成功与失败
账户管理
  • 审计计算机帐户管理
  • 审核通讯组管理
  • 审计安全组管理
 成功
  • 审核用户帐户管理
 成功与失败
详细跟踪
  • 审计流程创建
  • 审核流程终止
 成功
DS 访问
  • 审核目录服务更改
  • 审核目录服务访问
 成功
登录/注销
  • 审核登录
  • 审核网络策略服务器
 成功与失败
  • 审核其他登录/注销事件
  • 审核注销
 成功
对象访问
  • 审核其他对象访问事件
 成功
政策变更
  • 审核身份验证策略更改
  • 审核授权策略更改
 成功
系统
  • 审核安全状态更改
 成功
活动目录审核配置高级审核策略 图像显示:“帐户登录”类别→“审核 Kerberos 身份验证服务”子类别→“成功”和“失败”已配置。
2. 实施高级审核策略

使用高级审核策略时,请确保强制使用旧审核策略。

  • 使用域管理员凭据登录到具有组策略管理控制台 (GPMC) 的任何计算机 →打开 GPMC →右键单击“默认域控制器策略”→“编辑”。
  • 在组策略管理编辑器中→“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”。
  • 导航到右窗格→右键单击“审核:强制审核策略子类别设置”→“属性”→“启用”。
    • 活动目录审核强制执行高级审核策略
3. 配置旧审计策略

用于配置高级审核策略的选项在 Windows Server 2003 及更低版本中不可用。因此,对于这些系统,您需要配置旧版审核策略。

  • 使用域管理员凭据登录到具有组策略管理控制台 (GPMC) 的任何计算机 →打开 GPMC →右键单击“默认域控制器策略”→“编辑”。
  • 在组策略管理编辑器→“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→双击“审核策略”。
  • 导航到右窗格→右键单击相关策略,然后单击“属性”→选择“成功”、“失败”或两者;如下表所示-

类别 审核事件
帐户登录 成功与失败
审核登录/注销 成功与失败
账户管理 成功
目录服务访问 成功
过程跟踪 成功
对象访问 成功
系统事件 成功
活动目录审核配置旧版审核策略 图像显示:审核帐户登录事件类别→同时配置了“成功”和“失败”。

注意:要启用NTLM事件的审核,请登录ADAudit Plus的Web控制台 → 单击“支持”选项卡> 在“支持信息”下,单击“更多>” 在“配置”下,单击“启用/禁用配置设置”>“启用 NTLM 审核”。

我们的客户