配置审计策略 - 手动过程
配置要审核的Windows工作站列表
- 打开 Active Directory用户和计算机。
- 右键单击域并选择 新建 > 组。
- 在弹出的 新建对象 - 组窗口中,输入“ADAuditPlusWS”作为 组名,选择 组范围:域本地 和 组类型:安全。点击 确定。
- 右键单击新创建的组,然后选择 属性 > 成员 > 添加。将所有您希望审核的Windows工作站添加为该组的成员。点击 确定。
- 使用域管理员凭据登录到任何安装有 组策略管理控制台(GPMC) 的计算机。
注意:GPMC默认情况下不会安装在工作站和/或成员服务器上,因此我们建议在Windows域控制器上配置审核策略。否则,请按照本页面中的步骤在您所需的成员服务器或工作站上安装GPMC。
- 转到 开始 > Windows管理工具 > 组策略管理。
- 在 GPMC中,右键单击您要配置组策略的域。选择 创建GPO并链接到此处。在弹出的 新建GPO窗口中,输入“ADAuditPlusWSPolicy”并点击 确定。
- 选择 <域名>_ADAuditPlusWSPolicy GPO。在 安全筛选下,选择 经过身份验证的用户。点击 删除。在弹出的 组策略管理窗口中,选择 确定。
- 选择 <域名>_ADAuditPlusWSPolicy GPO。在 安全筛选下,点击 添加 并选择之前创建的安全组ADAuditPlusWS。点击 确定。
配置高级审核策略
按照以下步骤手动配置审核策略:
- 使用域管理员凭据登录到任何安装有 GPMC的计算机。
- 转到 开始 > Windows管理工具 > 组策略管理。
- 右键单击GPO <域 名>_ADAuditPlusWSPolicy 并选择 编辑。
- 在 组策略管理编辑器中,按照以下步骤操作:
注意:高级审核策略配置仅在Windows Server 2008或更高版本中可用。如果您使用的是 较旧版本的Windows,请配置遗留审核策略。建议您配置高级审核策略而不是遗留审核策略,以防止存储不必要的事件数据日志,因为遗留策略包含更多不必要的事件。
- 选择 计算机配置 > 策略 > Windows设置 > 安全设置 > 高级审核策略配置 > 审核策略。
- 点击、启用并保存如下所示的审核策略:
| 高级审核策略 |
审核事件 |
|
类别 |
子类别 |
|
| 账户管理 |
审核计算机账户管理 |
成功 |
| 审核分发组管理 |
成功 |
| 审核安全组管理 |
成功 |
| 审核用户账户管理 |
成功和失败 |
| 详细跟踪 |
审核即插即用 活动 |
成功和失败 |
| 登录/注销 |
审核注销 |
成功 |
| 审核登录 |
成功和失败 |
| 审核网络策略服务器 |
成功和失败 |
| 审核其他登录/注销事件 |
成功和失败 |
| 对象访问 |
审核文件共享 |
成功和失败 |
| 审核文件系统 |
成功和失败 |
| 审核句柄操作 |
成功 |
| 审核其他对象访问事件 |
成功 |
| 审核可移动存储 |
成功和失败 |
| 策略变更 |
审核身份验证策略变更 |
成功 |
| 审核授权策略变更 |
成功 |
| 系统 |
审核安全状态变更 |
成功 |
强制执行高级审核策略
根据以下步骤手动强制执行高级审核策略:
- 右键单击 <域名>_ADAuditPlusWSPolicy 从GPMC中。
- 在 组策略管理编辑器中,按照以下步骤操作:
- 选择 计算机配置 > 策略 > Windows设置 > 安全设置 > 本地策略 > 安全选项 > 审核: 强制审核策略子类别设置 (Windows Vista或更高版本) 以覆盖审核策略类别设置。
- 启用该策略并 单击 确定。
配置遗留审核策略
根据以下步骤手动配置遗留审核策略:
- 转到 开始 > Windows管理工具 > 组策略管理。
- 右键单击GPO <域名>_ADAuditPlusWSPolicy 并选择编辑。
- 在 组策略管理编辑器中,按照以下步骤操作:
注意:
高级审计策略配置仅在 Windows Server 2008 或更高版本中可用。如果您使用的是较旧版本的 Windows,请配置遗留审计策略。建议您配置高级审计策略,而不是遗留审计策略,以防止存储不必要的事件数据日志,因为遗留策略包含更多不需要的事件。
- 选择计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 审计策略。
- 单击、启用并保存审计策略,如下所示:
| 本地审计策略 |
审计事件 |
| 类别 |
|
| 审计账户管理 |
成功与失败 |
| 审计登录事件 |
成功 |
| 审计对象访问 |
成功与失败 |
| 审计策略变更 |
成功 |
| 审计系统事件 |
成功 |
