配置审核策略 - 手动配置

必须配置审核策略，以确保在发生任何活动时都会记录事件。

配置高级审核策略

高级审核策略帮助管理员对哪些活动被记录在日志中进行细粒度控制，减少事件噪声。建议在运行Windows Server 2008及以上的域控制器上配置高级审核策略。

• 使用域管理员凭据登录安装了组策略管理控制台（GPMC）的任意计算机 → 打开GPMC → 右键点击“Default Domain Controllers Policy” → 编辑。

  注意：如果您不愿意修改Default Domain Controllers Policy，可以创建一个包含相同审核设置的新GPO。将此新GPO链接到域控制器OU并赋予更高优先级，然后按照以下步骤操作。此方法可保持默认策略不变，同时应用必要的审核策略。

• 在组策略管理编辑器 → 计算机配置 → 策略 → Windows设置 → 安全设置 → 高级审核策略配置 → 审核策略，双击相关策略设置。
• 导航到右侧窗格 → 右键点击相关子类别，然后点击“属性” → 根据下表选择成功、失败或两者。

类别	子类别	审核事件
账户登录	审核Kerberos身份验证服务	成功和失败
账户管理	审核计算机账户管理 审核分发组管理 审核安全组管理	成功
	审核用户账户管理	成功和失败
详细跟踪	审核进程创建 审核进程终止	成功
DS访问	审核目录服务更改 审核目录服务访问	成功
登录/注销	审核登录 审核网络策略服务器	成功和失败
	审核其他登录/注销事件 审核注销	成功
对象访问	审核其他对象访问事件	成功
策略更改	审核身份验证策略更改 审核授权策略更改	成功
系统	审核安全状态更改	成功

图片显示：账户登录类别 → 审核Kerberos身份验证服务子类别 → 配置成功和失败。

强制执行高级审核策略

使用高级审核策略时，确保其优先于传统审核策略。

• 使用域管理员凭据登录安装了组策略管理控制台（GPMC）的任意计算机 → 打开GPMC → 右键点击“Default Domain Controllers Policy” → 编辑。
• 在组策略管理编辑器 → 计算机配置 → 策略 → Windows设置 → 安全设置 → 本地策略 → 安全选项。
• 导航到右侧窗格 → 右键点击“审核：强制审核策略子类别设置” → 属性 → 启用。

配置传统审核策略

Windows Server 2003及以下版本不支持高级审核策略，因此需要配置传统审核策略。

• 使用域管理员凭据登录安装了组策略管理控制台（GPMC）的任意计算机 → 打开GPMC → 右键点击“Default Domain Controllers Policy” → 编辑。
• 在组策略管理编辑器 → 计算机配置 → 策略 → Windows设置 → 安全设置 → 本地策略 → 双击审核策略。
• 导航到右侧窗格 → 右键点击相关策略，然后点击属性 → 根据下表选择成功、失败或两者。

类别	审核事件
账户登录	成功和失败
审核登录/注销	成功和失败
账户管理	成功
目录服务访问	成功
进程跟踪	成功
对象访问	成功
系统事件	成功

图片显示：审核账户登录事件类别 → 配置成功和失败。

注意： 要启用NTLM事件的审核，登录ADAudit Plus的Web控制台 → 点击 支持 选项卡 > 在 支持信息下，点击 更多 > 在 配置下，点击 启用/禁用配置设置 > 启用NTLM审核。