大幅度优惠,投资回报更好! ManageEngine 产品独家折扣!* 提升您的业务 *条款和条件适用
  • 首页
  • 数据源配置
  • Windows Server 服务器
  • 配置审计策略
  • 手动配置
点击这里收起
点击这里展开 点击这里展开

手动配置审计策略

配置要审计的Windows服务器列表

  1. 打开 Active Directory Users and Computers
  2. 右键单击域,选择 新建 > 组
  3. 在弹出的 新建对象 - 组 窗口中,输入“ADAuditPlusMS”作为 组名称,选择 组范围: 域本地 和 组类型: 安全。点击 确定
  4. 右键单击新创建的组,选择 属性 > 成员 > 添加。将所有要审计的Windows服务器添加为该组的成员。点击 确定
  5. 使用域管理员凭据登录到任何安装有 组策略管理控制台 (GPMC) 的计算机上。

    注意: 默认情况下,GPMC不会安装在工作站上或在成员服务器上启用,因此我们建议在Windows域控制器上配置审计策略。否则,请按照 此页面中的步骤 在所需的成员服务器或工作站上安装GPMC。

  6. 转到 开始 > Windows 管理工具 > 组策略管理
  7. GPMC 中,右键单击要配置组策略的域。选择 创建一个GPO并链接到这里。在弹出的 新建GPO 窗口中,输入“ADAuditPlusMSPolicy”并点击 确定
  8. 选择 ADAuditPlusMSPolicy GPO。在 安全过滤 下,选择 经过认证的用户。点击 移除。在弹出的 组策略管理 窗口中,选择 确定
  9. 选择 ADAuditPlusMSPolicy GPO。在 安全过滤 下,点击 添加,选择之前创建的安全组 ADAuditPlusMS。点击确定。
  10. General Settings under the Admin tab

配置高级审计策略 

高级审计策略帮助管理员精确控制哪些活动被记录在日志中,从而减少事件噪音。 我们建议在Windows Server 2008及以上版本上配置高级审计策略。

  1. 使用域管理员凭据登录到任何安装有GPMC的计算机上。 打开GPMC,右键单击 ADAuditPlusMSPolicy 并选择 编辑
  2. 在组策略管理编辑器中,转到 计算机配置 → 策略 → Windows 设置 → 安全设置 → 高级审计策略配置 → 审计策略。 双击相关的策略设置。 
  3. 导航到右侧窗格,右键单击相关子类别。选择 属性,然后根据下表选择 成功、失败或两者。
类别 子类别 审计事件
账户管理
  • 审计计算机账户管理
  • 审计分发组管理
  • 审计安全组管理
  • 审计用户账户管理
成功
成功与失败
详细跟踪
  • 审计进程创建
  • 审计进程终止
成功
目录服务访问
  • 审计目录服务更改 
  • 审计目录服务访问
成功
登录/注销
  • 审计登录
  • 审计网络策略服务器
  • 审计其他登录/注销事件
  • 审计注销
成功与失败
成功
对象访问
  • 审计文件系统
  • 审计句柄操作
  • 审计文件共享
成功与失败
策略更改
  • 审计身份验证策略更改
  • 审计授权策略更改
成功
系统
  • 审计安全状态更改
成功

管理员选项卡下的一般设置

强制高级审计策略

使用 高级审计策略时,确保它们强制高于传统审计策略。 

  1. 使用域管理员凭据登录到任何具有 GPMC 的计算机。 打开 GPMC,右键单击 ADAuditPlusMSPolicy,然后选择 编辑。
  2. 在组策略管理编辑器中,转到计算机配置 → 政策 → Windows 设置 → 安全设置 → 本地政策 → 安全选项。
  3. 导航到右侧窗格,然后右键单击审计:强制审计策略子类设置。选择 属性,然后 启用

管理员选项卡下的一般设置

配置传统审核策略

由于Windows Server 2003及更早版本中没有高级审核策略,因此需要为这些类型的服务器配置传统审核策略。

  1. 使用域管理员凭据登录任何具有GPMC的计算机。打开GPMC,右键单击ADAuditPlusMSPolicy,然后选择编辑
  2. 在组策略管理编辑器中,转到计算机配置 → 策略 → Windows设置 → 安全设置 → 本地策略,然后双击审核策略
  3. 导航到右侧窗格,右键单击相关策略。选择属性,然后根据下表选择成功、失败或两者:
  4. 类别 审核事件
    帐户登录 成功和失败
    审核登录/注销 成功 和失败
    帐户管理 成功
    目录服务访问 成功
    进程跟踪 成功
    对象访问 成功
     系统 事件  成功

管理员选项卡下的一般设置

获取下载链接