手动配置AD审核策略
1. 配置要审核的 Windows 服务器列表
- 打开“Active Directory 用户和计算机”。
- 右键单击域,然后选择“新建>组”。
- 在打开的“新建对象 - 组”窗口中,键入“ADAuditPlusMS”作为“组名称”,选中“组范围:本地域”和“组类型:安全性”。单击“确定”。
- 右键单击新创建的组,然后选择“属性”>“成员”>“添加”。将要审核的所有 Windows 服务器添加为此组的成员。单击“确定”。
使用域管理员凭据登录到具有组策略管理控制台 (GPMC) 的任何计算机。
注意:默认情况下,GPMC 不会安装在工作站上和/或在成员服务器上启用,因此我们建议在 Windows 域控制器上配置审核策略。否则,请按照本页中的步骤在所需的成员服务器或工作站上安装 GPMC。
- 转到“开始”>“Windows 管理工具”>组策略管理。
- 在 GPMC 中,右键单击要在其中配置组策略的域。选择“创建 GPO 并在此处链接”。在打开的“新建 GPO”窗口中,键入“ADAuditPlusMSPolicy”,然后单击“确定”。
- 选择 ADAuditPlusMSPolicy GPO。在“安全筛选”下,选择“经过身份验证的用户”。单击“删除”。在打开的“组策略管理”窗口中,选择“确定”。
- 选择 ADAuditPlusMSPolicy GPO。在“安全筛选”下,单击“添加”,然后选择之前创建的安全组 ADAuditPlusMS。单击“确定”。
2. 配置高级审核策略
高级审核策略可帮助管理员对日志中记录的活动进行精细控制,从而帮助减少事件干扰。建议在 Windows Server 2008 及更高版本上配置高级审核策略。
- 使用域管理员凭据登录到具有 GPMC 的任何计算机。打开 GPMC,然后右键单击“ADAuditPlusMSPolicy”,然后选择“编辑”。
- 在组策略管理编辑器中,转到“计算机配置→策略”→“Windows 设置”→“安全设置”→“高级审核策略配置”→“审核策略”。双击相关策略设置。
- 导航到右侧窗格,然后右键单击相关的子类别。选择“属性”,然后选择“成功”和/或“失败”,如下表所示。
| 类别 | 子领域 | 审核事件 |
|---|---|---|
| 账户管理 |
| 成功 成功与失败 |
| 详细跟踪 |
| 成功 |
| DS 访问 |
| 成功 |
| 登录/注销 |
| 成功与失败 成功 |
| 对象访问 |
| 成功与失败 |
| 政策变更 |
| 成功 |
| 系统 |
| 成功 |
3. 强制执行高级审计策略
使用高级审核策略时,请确保强制执行旧审核策略。
- 使用域管理员凭据登录到具有 GPMC 的任何计算机。打开 GPMC,右键单击“ADAuditPlusMSPolicy”,然后选择“编辑”。
- 在组策略管理编辑器中,转到“计算机配置→策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”。
- 导航到右侧窗格,然后右键单击“审核:强制审核策略子类别设置”。选择“属性”,然后选择“启用”。
4. 配置旧审核策略
由于 Windows Server 2003 及更早版本中的高级审核策略不可用,因此需要为这些类型的服务器配置旧版审核策略。
- 使用域管理员凭据登录到具有 GPMC 的任何计算机。打开 GPMC,右键单击“ADAuditPlusMSPolicy”,然后选择“编辑”。
- 在组策略管理编辑器中,转到“计算机配置→策略”→“Windows 设置”→“安全设置”→“本地策略”,然后双击“审核策略”。
- 导航到右侧窗格,然后右键单击相关策略。选择“属性”,然后选择“成功”和/或“失败”,如下表所示:
| 类别 | 审核事件 |
|---|---|
| 帐户登录 | 成功与失败 |
| 审核登录/注销 | 成功与失败 |
| 账户管理 | 成功 |
| 目录服务访问 | 成功 |
| 过程跟踪 | 成功 |
| 对象访问 | 成功 |
| 系统事件 | 成功 |
