配置AD CS审核

在ADAudit Plus中添加AD CS服务器

若要启用AD CS审核，需要在ADAudit Plus控制台中配置安装了AD CS的计算机。

• 如果已在域控制器上安装了AD CS，请在ADAudit Plus中配置Active Directory域和域控制器。单击此处查看操作方法。
• 如果已在Windows服务器上安装了AD CS，请在ADAudit Plus中配置Windows服务器。单击此处查看操作方法。

配置审核策略

对于AD CS审核，可以在ADAudit Plus中自动或手动配置所需的审核策略。

自动配置

要自动配置审核策略，请按照以下步骤操作：

• 如果域控制器上安装了 AD CS，请单击此处查找自动启用审核策略的步骤。
• 如果 AD CS 安装在 Windows 服务器上，请单击此处查找手动启用审核策略的步骤。

手动配置

手动配置审核策略时，可以为 AD CS 审核配置高级审核策略或旧审核策略。

要配置高级审核策略，请执行以下操作：

• 使用域管理员凭据登录到具有组策略管理控制台 （GPMC） 的任何计算机。

• 打开 GPMC，根据你的设置，右键单击“默认域控制器策略”或“ADAuditPlusMSPolicy”，然后选择“编辑”。

  注意：如果域控制器上已安装 AD CS，请在默认域控制器策略 GPO 中配置审核策略。如果 Windows 服务器上已安装 AD CS，请在 ADAuditPlusMSPolicy GPO 中配置审核策略。

• 在组策略管理编辑器中，转到“计算机配置”>“策略”>“Windows 设置”>“安全设置”>“高级审核策略配置”>“审核策略”。
• 双击对象访问。

• 右键单击右窗格中的审核认证服务。选择“属性”，然后选中“成功”和“失败”旁边的框。

  

强制执行高级审核策略

配置高级审核策略后，请确保强制执行旧审核策略。

• 使用域管理员凭据登录到具有 GPMC 的任何计算机。

• 打开 GPMC，根据你的设置，右键单击“默认域控制器策略”或“ADAuditPlusMSPolicy”，然后选择“编辑”。

  注意：如果域控制器上已安装 AD CS，请在默认域控制器策略 GPO 中配置审核策略。如果 Windows 服务器上已安装 AD CS，请在 ADAuditPlusMSPolicy GPO 中配置审核策略。

• 在组策略管理编辑器中，转到“计算机配置>策略”>“Windows 设置”>“安全设置”>“本地策略”>“安全选项”。

• 右键单击“审核：强制审核策略”子类别设置，从右窗格中选择“属性”，然后选择“已启用”。

  

要配置旧审核策略，请执行以下操作：

• 使用域管理员凭据登录到具有 GPMC 的任何计算机。

• 打开 GPMC，根据你的设置，右键单击“默认域控制器策略”或“ADAuditPlusMSPolicy”，然后选择“编辑”。

  注意：如果域控制器上已安装 AD CS，请在默认域控制器策略 GPO 中配置审核策略。如果 Windows 服务器上已安装 AD CS，请在 ADAuditPlusMSPolicy GPO 中配置审核策略。

• 在组策略管理编辑器中，转到“计算机配置>策略”>“Windows 设置”>“安全设置”>“本地策略”。
• 双击“审核策略”。

• 右键单击右窗格中的“对象访问”策略。选择“属性”，然后选中“成功”和“失败”旁边的框。

  

在 AD CS 服务器上启用审核

配置 CA 审核

• 使用域管理员凭据登录到 AD CS 服务器。
• 打开证书颁发机构管理控制台，右键单击 CA，然后选择属性。
• 从“属性”窗口中选择“审核”选项卡，然后选中下面列出的类别旁边的框：
  • 更改 CA 配置
  • 更改 CA 安全设置
  • 颁发和管理证书请求
  • 吊销证书并发布 CRL
  • 存储和检索存档的密钥

监视对证书模板的更改

通过更新注册表，可以使用ADAudit Plus审核对企业CA颁发的证书模板所做的更改。若要启用证书模板审核，请以管理员身份打开命令提示符并执行以下命令：