配置审核策略 - 手动配置

必须配置审核策略，以确保在发生任何活动时记录事件。

配置高级审核策略

高级审核策略帮助管理员对哪些活动被记录在日志中进行细粒度控制，从而减少事件噪声。建议在运行Windows Server 2008及以上版本的域控制器上配置高级审核策略。

• 使用域管理员凭据登录到任何有组策略管理控制台（GPMC）的计算机 → 打开GPMC → 右键点击默认域控制器策略 → 编辑。
• 在组策略管理编辑器中 → 计算机配置 → 策略 → Windows 设置 → 安全设置 → 高级审核策略配置 → 审核策略，双击相关的策略设置。
• 导航到右侧面板 → 右键点击相关的子类别，然后点击属性 → 选择成功、失败或两者，如下表所示。

类别	子类别	审核事件
帐户登录	审核Kerberos身份验证服务	成功和失败
帐户管理	审核计算机帐户管理 审核分发组管理 审核安全组管理	成功
	审核用户帐户管理	成功和失败
详细跟踪	审核进程创建 审核进程终止	成功
DS访问	审核目录服务变更 审核目录服务访问	成功
登录/注销	审核登录 审核网络策略服务器	成功和失败
	审核其他登录/注销事件 审核注销	成功
对象访问	审核其他对象访问事件	成功
策略变更	审核身份验证策略变更 审核授权策略变更	成功
系统	审核安全状态变更	成功

图片显示：帐户登录类别 → 审核Kerberos身份验证服务子类别 → 配置成功和失败。

实施高级审核策略

在使用高级审核策略时，请确保它们优先于传统审核策略。

• 使用域管理员凭据登录到任何具有组策略管理控制台（GPMC）的计算机 → 打开GPMC → 右键单击默认域控制器策略 → 编辑。
• 在组策略管理编辑器中 → 计算机配置 → 策略 → Windows设置 → 安全设置 → 本地策略 → 安全选项。
• 导航到右侧窗格 → 右键单击审核：强制审核策略子类别设置 → 属性 → 启用。

配置传统审核策略

在Windows Server 2003及更早版本中无法配置高级审核策略。因此，对于这些系统，您需要配置传统审核策略。

• 使用域管理员凭据登录到任何具有组策略管理控制台（GPMC）的计算机 → 打开GPMC → 右键单击默认域控制器策略 → 编辑。
• 在组策略管理编辑器中 → 计算机配置 → 策略 → Windows设置 → 安全设置 → 本地政策 → 双击审核策略。
• 导航到右侧窗格 → 右键单击相关策略，然后点击属性 → 选择成功、失败或两者；如下面表格所示-

类别	审核事件
账号登录	成功和失败
审核登录/注销	成功和失败
账号管理	成功
目录服务访问	成功
过程跟踪	成功
对象访问	成功
系统事件	成功

图像显示：审核账户登录事件类别 → 配置了成功和失败。

注意： 要启用NTLM事件的审核， 请登录到ADAudit Plus的Web控制台 → 点击 支持标签 > 在 支持信息下，点击 更多 > 在 配置下，点击 启用/禁用配置设置 > 启用NTLM审核。