大幅节省,更好的投资回报率! 管理引擎产品的独家折扣!* 提升您的业务 *适用条款与条件
  • 首页
  • 数据源配置
  • Windows 文件服务器
  • 配置审计策略
  • 手动配置
点击这里收缩
点击这里展开 点击这里展开

配置审核策略 - 手动配置

必须配置审核策略,以确保在发生任何活动时记录事件。

配置要审核的Windows文件服务器列表

  1. 打开 活动目录用户和计算机
  2. 右键单击域,选择 新建 > 组
  3. 在打开的 新建对象 - 组 窗口中,输入“ADAuditPlusFS”作为 组名,勾选 组范围:域本地组类型:安全。点击 确定
  4. 右键单击新创建的组,选择 属性 > 成员 > 添加。将您希望审核的所有Windows文件服务器作为该组的成员添加。点击 确定
  5. 使用域管理员凭证登录到任何安装了 组策略管理控制台(GPMC) 的计算机。
  6. 注意:默认情况下,GPMC不会安装在工作站和/或成员服务器上,因此建议在Windows域控制器上配置审核策略。否则,请按照此页面中的步骤在您希望的成员服务器或工作站上安装GPMC。

  7. 转到 开始 > Windows管理工具 > 组策略管理
  8. GPMC 中,右键单击您希望配置组策略的域。选择 创建GPO并链接到此处。在打开的 新建GPO 窗口中,输入“ADAuditPlusFSPolicy”并点击 确定
  9. 选择 ADAuditPlusFSPolicy GPO。在 安全过滤 下,选择 经过认证的用户。点击 删除。在打开的 组策略管理 窗口中,选择 确定
  10. 选择 ADAuditPlusFSPolicy GPO。在 安全过滤 下,点击 添加,选择之前创建的安全组 ADAuditPlusFS。点击 确定
  11. 仅将审核设置应用于需要审核的文件服务器列表

配置高级审核策略

高级审核策略帮助管理员对记录哪些活动到日志中进行细粒度控制,有助于减少事件噪音。我们建议在Windows Server 2008及以上版本上配置高级审核策略。

  1. 要设置此项,右键单击<ADAuditPlusFSPolicy>并选择 编辑
  2. 导航到 配置 > Windows设置 > 安全设置 > 高级审核策略配置, 并配置以下设置。
类别 子类别 审核事件 目的
对象访问
  • 审核文件系统
  • 审计文件共享
  • 审计句柄操作
  • 成功,失败
  • 成功
  • 成功,失败
  • 文件共享审计
策略变更
  • 审计策略变更
  • 授权策略变更
  • 成功,失败
  • 成功
  • 文件权限变更审计

配置高级审计策略

强制实施高级审计策略

使用高级审计策略时,确保这些策略强制覆盖旧版审计策略。

  1. <ADAuditPlusFSPolicy> 中启用强制审计策略子类别设置。
  2. 导航至 计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 审计:强制审计策略子类别设置(Windows Vista 或更高版本)以覆盖审计策略类别设置。

强制实施高级审计策略

配置旧版审计策略

由于 Windows Server 2003 及更早版本不提供高级审计策略,因此需要为这些类型的服务器配置旧版审计策略。

  1. 要进行此设置,请右键单击策略并选择编辑,以编辑 <ADAuditPlusFSPolicy>
  2. 导航至 配置 > Windows 设置 > 安全设置 > 审计策略配置,并配置以下设置。
类别 审计事件 目的
对象访问
  • 成功,失败
  • 文件共享审计
  • 文件完整性监控
  • 文件权限变更审计

审计策略

获取下载链接