配置 AD CS 审计

在 ADAudit Plus 中添加 AD CS 服务器

要启用 AD CS 审计，您需要在 ADAudit Plus 控制台中配置安装了 AD CS 的计算机。

• 如果您已在域控制器上安装了 AD CS，请在 ADAudit Plus 中配置 Active Directory 域和域控制器。 点击此处查看方法.
• 如果您已在 Windows 服务器上安装了 AD CS，请在 ADAudit Plus 中配置该 Windows 服务器。 点击此处查看方法.

配置审计策略

对于 AD CS 审计，您可以在 ADAudit Plus 中自动或手动配置所需的审计策略。

自动配置

要自动配置审计策略，请按照以下步骤操作：

• 如果 AD CS 安装在域控制器上， 点击此处查找自动启用审计策略的步骤.
• 如果 AD CS 安装在 Windows 服务器上， 点击此处查找自动启用审计策略的步骤.

手动配置

手动配置审计策略时，您可以为 AD CS 审计配置高级审计策略或传统审计策略。

配置高级审计策略：

• 使用具有域管理员凭据的任何计算机登录， 启动群组策略管理控制台 (GPMC) 。
• 打开 GPMC，根据您的设置，右键单击 默认域控制器策略 或 ADAuditPlusMSPolicy，然后选择 编辑.

  注意：如果 AD CS 安装在域控制器上，请在“默认域控制器策略”GPO 中配置审计策略。如果 AD CS 安装在 Windows 服务器上，请在 ADAuditPlusMSPolicy GPO 中配置审计策略。

• 在 群组策略管理编辑器中，导航到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审计策略配置 > 审计策略.
• 双击 对象访问.
• 在右侧窗格中右键单击 审计证书服务 ，选择 属性，然后勾选 成功 和 失败.

  

强制启用高级审计策略

配置高级审计策略后，确保将其强制应用以覆盖传统审计策略。

• 使用具有域管理员凭据的任何计算机登录 GPMC。
• 打开 GPMC，根据您的设置，右键单击 默认域控制器策略 或 ADAuditPlusMSPolicy，然后选择 编辑.

  注意：如果 AD CS 安装在域控制器上，请在“默认域控制器策略”GPO 中配置审计策略。如果 AD CS 安装在 Windows 服务器上，请在 ADAuditPlusMSPolicy GPO 中配置审计策略。

• 在 群组策略管理编辑器中，导航到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项.
• 在右侧窗格中右键单击 审计：强制审计策略子类别设置 在右侧窗格中选择 属性，然后选择 已启用.

  

配置传统审计策略：

• 使用具有域管理员凭据的任何计算机登录 GPMC。
• 打开 GPMC，根据您的设置，右键单击 默认域控制器策略 或 ADAuditPlusMSPolicy，然后选择 编辑.

  注意：如果 AD CS 安装在域控制器上，请在“默认域控制器策略”GPO 中配置审计策略。如果 AD CS 安装在 Windows 服务器上，请在 ADAuditPlusMSPolicy GPO 中配置审计策略。

• 在 群组策略管理编辑器中，导航到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略.
• 双击 审计策略.
• 在右侧窗格中右键单击该 对象访问 策略，选择 属性，然后勾选 成功 和 失败.

  

启用 AD CS 服务器上的审计

配置 CA 审计

• 使用具有域管理员凭据的账号登录 AD CS 服务器。
• 打开 证书颁发机构管理控制台，右键单击 CA，选择 属性.
• 选择 审计 选项卡， 属性 并勾选以下类别旁的复选框：
  • 更改 CA 配置
  • 更改 CA 安全设置
  • 颁发并管理证书请求
  • 吊销证书并发布 CRL
  • 存储和检索归档密钥

监控证书模板的更改

通过更新注册表，可以使用 ADAudit Plus 审计企业 CA 发布的证书模板的更改。要启用证书模板审计，请以管理员身份打开命令提示符并执行以下命令：