首页 »
下载PDF
 

配置AD CS审核

在ADAudit Plus中添加AD CS服务器

若要启用AD CS审核,需要在ADAudit Plus控制台中配置安装了AD CS的计算机。

配置审核策略

对于AD CS审核,可以在ADAudit Plus中自动或手动配置所需的审核策略。

自动配置

要自动配置审核策略,请按照以下步骤操作:

手动配置

手动配置审核策略时,可以为 AD CS 审核配置高级审核策略或旧审核策略。

要配置高级审核策略,请执行以下操作:

  • 使用域管理员凭据登录到具有组策略管理控制台 (GPMC) 的任何计算机。
  • 打开 GPMC,根据你的设置,右键单击“默认域控制器策略”或“ADAuditPlusMSPolicy”,然后选择“编辑”。

    注意:如果域控制器上已安装 AD CS,请在默认域控制器策略 GPO 中配置审核策略。如果 Windows 服务器上已安装 AD CS,请在 ADAuditPlusMSPolicy GPO 中配置审核策略。

  • 组策略管理编辑器中,转到“计算机配置”>“策略”>“Windows 设置”>“安全设置”>“高级审核策略配置”>“审核策略”。
  • 双击对象访问
  • 右键单击右窗格中的审核认证服务。选择“属性”,然后选中“成功”和“失败”旁边的框。

强制执行高级审核策略

配置高级审核策略后,请确保强制执行旧审核策略。

  • 使用域管理员凭据登录到具有 GPMC 的任何计算机。
  • 打开 GPMC,根据你的设置,右键单击“默认域控制器策略”或“ADAuditPlusMSPolicy”,然后选择“编辑”。

    注意:如果域控制器上已安装 AD CS,请在默认域控制器策略 GPO 中配置审核策略。如果 Windows 服务器上已安装 AD CS,请在 ADAuditPlusMSPolicy GPO 中配置审核策略。

  • 组策略管理编辑器中,转到“计算机配置>策略”>“Windows 设置”>“安全设置”>“本地策略”>“安全选项”。
  • 右键单击“审核:强制审核策略”子类别设置,从右窗格中选择“属性”,然后选择“已启用”。

要配置旧审核策略,请执行以下操作:

  • 使用域管理员凭据登录到具有 GPMC 的任何计算机。
  • 打开 GPMC,根据你的设置,右键单击“默认域控制器策略”或“ADAuditPlusMSPolicy”,然后选择“编辑”。

    注意:如果域控制器上已安装 AD CS,请在默认域控制器策略 GPO 中配置审核策略。如果 Windows 服务器上已安装 AD CS,请在 ADAuditPlusMSPolicy GPO 中配置审核策略。

  • 组策略管理编辑器中,转到“计算机配置>策略”>“Windows 设置”>“安全设置”>“本地策略”。
  • 双击“审核策略”。
  • 右键单击右窗格中的“对象访问”策略。选择“属性”,然后选中“成功”和“失败”旁边的框。

在 AD CS 服务器上启用审核

配置 CA 审核

  • 使用域管理员凭据登录到 AD CS 服务器。
  • 打开证书颁发机构管理控制台,右键单击 CA,然后选择属性
  • “属性”窗口中选择“审核”选项卡,然后选中下面列出的类别旁边的框:
    • 更改 CA 配置
    • 更改 CA 安全设置
    • 颁发和管理证书请求
    • 吊销证书并发布 CRL
    • 存储和检索存档的密钥

监视对证书模板的更改

通过更新注册表,可以使用ADAudit Plus审核对企业CA颁发的证书模板所做的更改。若要启用证书模板审核,请以管理员身份打开命令提示符并执行以下命令:

certutil –setreg policy\EditFlags +EDITF_AUDITCERTTEMPLATELOAD

我们的客户