配置 AD CS 审计

在 ADAudit Plus 中添加 AD CS 服务器

要启用 AD CS 审计，您需要在 ADAudit Plus 控制台中配置安装了 AD CS 的计算机。

• 如果您在域控制器上安装了 AD CS，请在 ADAudit Plus 中配置 Active Directory 域和域控制器。
点击这里查看如何操作。
• 如果您在 Windows 服务器上安装了 AD CS，请在 ADAudit Plus 中配置该 Windows 服务器。 点击这里查看如何操作。

配置审核策略

对于 AD CS 审核，您可以在 ADAudit Plus 中自动或手动配置所需的审核策略。

自动配置

要自动配置审核策略，请按照以下步骤操作：

• 如果 AD CS 安装在域控制器上，点击这里查找自动启用审核策略的步骤。
• 如果 AD CS 安装在 Windows 服务器上，点击这里查找自动启用审核策略的步骤。

手动配置

在手动配置审核策略时，您可以为 AD CS 审核配置高级审核策略或遗留审核策略。

要配置高级审核策略：

• 使用域管理员凭据登录到任何具有 组策略管理控制台 (GPMC) 的计算机。
• 打开 GPMC，根据您的设置，右键单击 默认域控制器策略 或 ADAuditPlusMSPolicy，然后选择 编辑。

  注意: 如果 AD CS 已在域控制器上安装，请在默认域控制器策略 GPO 中配置审核策略。如果 AD CS 已在 Windows 服务器上安装，请在 ADAuditPlusMSPolicy GPO 中配置审核策略。

• 在 组策略管理编辑器 中，转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审核策略配置 > 审核策略。
• 双击 对象访问。
• 在右侧窗格中右键单击 审核认证服务。选择 属性，然后勾选 成功 和 失败 旁边的框。

  

强制实施高级审核策略

配置高级审核策略后，请确保它们强制高于遗留审核策略。

• 使用域管理员凭据登录到任何具有 GPMC 的计算机。
• 打开 GPMC，根据您的设置，右键单击 默认域控制器策略 或 ADAuditPlusMSPolicy，然后选择 编辑。

  注意: 如果 AD CS 已在域控制器上安装，请在默认域控制器策略 GPO 中配置审核策略。如果 AD CS 已在 Windows 服务器上安装，请在 ADAuditPlusMSPolicy GPO 中配置审核策略。

• 在 组策略管理编辑器 中，转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项。
• 在右侧窗格中右键单击 审核：强制审核策略子类设置，选择 属性，然后选择 启用。

  

配置遗留审核策略：

• 使用域管理员凭据登录到任何具有 GPMC 的计算机。
• 打开 GPMC，根据您的设置，您可以右键单击 默认域控制器策略 或 ADAuditPlusMSPolicy，然后选择 编辑。

  注意：如果在域控制器上安装了 AD CS，请在默认域控制器策略 GPO 中配置审核策略。如果在 Windows 服务器上安装了 AD CS，请在 ADAuditPlusMSPolicy GPO 中配置审核策略。

• 在 组策略管理编辑器 中，转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略。
• 双击 审核策略。
• 在右侧窗格中右键单击 对象访问 策略。选择 属性，然后勾选 成功 和 失败 旁边的框。

  

在 AD CS 服务器上启用审核

配置 CA 审核

• 使用域管理员凭据登录到 AD CS 服务器。
• 打开 证书颁发机构管理控制台，右键单击 CA，然后选择 属性。
• 从 属性 窗口中选择 审核 选项卡，并勾选下列类别旁边的框：
  • 更改 CA 配置
  • 更改 CA 安全设置
  • 颁发和管理证书请求
  • 撤销证书并发布 CRL
  • 存储和检索归档密钥

监控证书模板的更改

企业 CA 发出的证书模板的更改可以通过更新注册表来与 ADAudit Plus 一起审核。要启用证书模板审核，请以管理员身份打开命令提示符并执行以下命令：