手动配置审计策略
配置要审计的Windows服务器列表
- 打开 Active Directory Users and Computers。
- 右键单击域,选择 新建 > 组。
- 在弹出的 新建对象 - 组 窗口中,输入“ADAuditPlusMS”作为 组名称,选择 组范围: 域本地 和 组类型: 安全。点击 确定。
- 右键单击新创建的组,选择 属性 > 成员 > 添加。将所有要审计的Windows服务器添加为该组的成员。点击 确定。
- 使用域管理员凭据登录到任何安装有 组策略管理控制台 (GPMC) 的计算机上。
注意: 默认情况下,GPMC不会安装在工作站上或在成员服务器上启用,因此我们建议在Windows域控制器上配置审计策略。否则,请按照 此页面中的步骤 在所需的成员服务器或工作站上安装GPMC。
- 转到 开始 > Windows 管理工具 > 组策略管理。
- 在 GPMC 中,右键单击要配置组策略的域。选择 创建一个GPO并链接到这里。在弹出的 新建GPO 窗口中,输入“ADAuditPlusMSPolicy”并点击 确定。
- 选择 ADAuditPlusMSPolicy GPO。在 安全过滤 下,选择 经过认证的用户。点击 移除。在弹出的 组策略管理 窗口中,选择 确定。
- 选择 ADAuditPlusMSPolicy GPO。在 安全过滤 下,点击 添加,选择之前创建的安全组 ADAuditPlusMS。点击确定。
配置高级审计策略
高级审计策略帮助管理员精确控制哪些活动被记录在日志中,从而减少事件噪音。 我们建议在Windows Server 2008及以上版本上配置高级审计策略。
- 使用域管理员凭据登录到任何安装有GPMC的计算机上。 打开GPMC,右键单击 ADAuditPlusMSPolicy 并选择 编辑。
- 在组策略管理编辑器中,转到 计算机配置 → 策略 → Windows 设置 → 安全设置 → 高级审计策略配置 → 审计策略。 双击相关的策略设置。
- 导航到右侧窗格,右键单击相关子类别。选择 属性,然后根据下表选择 成功、失败或两者。
类别 |
子类别 |
审计事件 |
账户管理 |
- 审计计算机账户管理
- 审计分发组管理
- 审计安全组管理
|
成功
成功与失败
|
详细跟踪 |
|
成功 |
目录服务访问 |
|
成功 |
登录/注销 |
|
成功与失败
成功
|
对象访问 |
|
成功与失败 |
策略更改 |
|
成功 |
系统 |
|
成功 |
强制高级审计策略
使用 高级审计策略时,确保它们强制高于传统审计策略。
- 使用域管理员凭据登录到任何具有 GPMC 的计算机。 打开 GPMC,右键单击 ADAuditPlusMSPolicy,然后选择 编辑。
- 在组策略管理编辑器中,转到计算机配置 → 政策 → Windows 设置 → 安全设置 → 本地政策 → 安全选项。
- 导航到右侧窗格,然后右键单击审计:强制审计策略子类设置。选择 属性,然后 启用。
配置传统审核策略
由于Windows Server 2003及更早版本中没有高级审核策略,因此需要为这些类型的服务器配置传统审核策略。
- 使用域管理员凭据登录任何具有GPMC的计算机。打开GPMC,右键单击ADAuditPlusMSPolicy,然后选择编辑。
- 在组策略管理编辑器中,转到计算机配置 → 策略 → Windows设置 → 安全设置 → 本地策略,然后双击审核策略。
- 导航到右侧窗格,右键单击相关策略。选择属性,然后根据下表选择成功、失败或两者:
类别 |
审核事件 |
帐户登录 |
成功和失败 |
审核登录/注销 |
成功 和失败 |
帐户管理 |
成功 |
目录服务访问 |
成功 |
进程跟踪 |
成功 |
对象访问 |
成功 |
系统 事件 |
成功 |