大幅节省,更好的投资回报! ManageEngine 产品的独家折扣!* 提升您的业务 *适用条款与条件
  • 首页
  • 具体功能配置
  • 文件完整性监控
  • 配置审计策略
  • 手动配置
点击这里收缩
点击这里展开 点击这里展开

在您的域中配置审计策略 - 手动过程

配置高级审计策略

高级审核策略帮助管理员对哪些活动被记录在日志中进行 granular 控制,从而减少事件噪声。我们建议在 Windows Server 2008 及以上版本上配置高级审核策略。

  • 使用域管理员凭据登录到任何拥有组策略管理控制台(GPMC)的计算机。
  • 打开 GPMC,然后根据您的设置,右键单击 默认域控制器策略ADAuditPlusMSPolicyADAuditPlusWSPolicy,选择 编辑
  • 注意:有关适当的组策略,请参阅以下表格:

    在此启用 FIM 右键单击
    域控制器 默认域控制器策略 GPO
    Windows 服务器 ADAuditPlusMSPolicy GPO
    工作站 ADAuditPlusWSPolicy GPO
  • 组策略管理编辑器 中,转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审核策略配置, 并配置以下设置:
  • 类别 子类别 审核事件
    对象访问
    • 审核文件系统
    • 审核文件共享
    • 审核句柄操作
    • 成功、失败
    • 成功
    • 成功、失败

    配置高级审核策略

强制实施高级审核策略

使用高级审核策略时,请确保它们优先于遗留审核策略。

  • 使用域管理员凭据登录到任何拥有 GPMC 的计算机。
  • 打开 GPMC,然后根据您的设置,右键单击 默认域控制器策略ADAuditPlusMSPolicyADAuditPlusWSPolicy,然后选择编辑。
  • 在此启用 FIM 右键单击
    域控制器 默认域控制器策略 GPO
    Windows 服务器 ADAuditPlusMSPolicy GPO
    工作站 ADAuditPlusWSPolicy GPO
  • 组策略管理编辑器 中,转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项。
  • 右键单击右侧窗格中的 审核:强制审计策略子类别设置
  • 选择 属性,然后选择 已启用
  • 强制高级审计策略

配置传统审计策略

由于在 Windows Server 2003 及更早版本中不可用高级审计策略,因此需要为这些类型的服务器配置传统审计策略。

  • 使用域管理员凭据登录到任何具有 GPMC 的计算机。
  • 打开 GPMC,并根据您的设置,右键单击默认域控制器策略或 ADAuditPlusMSPolicy 或 ADAuditPlusWSPolicy,然后选择编辑。
  • 要启用 FIM 右键单击
    域控制器 默认域控制器策略 GPO
    Windows 服务器 ADAuditPlusMSPolicy GPO
    工作站 ADAuditPlusWSPolicy GPO
  • 组策略管理编辑器 中,转到 计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略。
  • 双击 审计策略。
  • 右键单击右侧窗格中的 对象访问 策略。
  • 选择 属性,然后勾选 成功 旁边的框。
  • 配置传统审计策略

获取下载链接