在Windows 2008 R2上恢复遗留审计策略

Question

最近，我试图通过禁用对“过滤平台数据包丢弃”的审核来减少我的安全审计的垃圾邮件。在一周的时间里，我得到了足够的审计--填充一个200 In的日志文件。我试着用高级审核策略禁用它。我不知道，该系统目前正在使用遗留审计系统，这一先进的审计政策扼杀了我的所有审计。由于我们所有的策略都是这样设置的，所以我使用组策略将其传播出去，因此它也杀死了我的Windows 7机器。

我已经能够在我的Windows 7机器上恢复审计，我尝试在我的2008服务器上应用相同的补丁，但是我看到的只是一堆“审计策略已经改变了”的事件。适用于这7台机器的修复程序是方法2。

Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
Right-click SCENoApplyLegacyAuditPolicy, and then click Modify.
Type 0 in the Value data box, and then click OK.

auditpol.exe /get /category:*报告说我的系统上没有启用审核。

如何在不用将机器还原到非常过时的硬盘映像的情况下，在机器上恢复审核？

Answer 1

我将向我的问题重复这个答案，因为我对这里最初给出的答案并不满意。我相信这也回答了这个问题。

来自http://jmfcomputers.co.uk/blog/?p=202

(注:重要的是将子类别设置设置为“禁用”。我被绊倒了一小会儿。

为了回滚，您需要执行以下操作：◦重置所有本地高级审计设置。如果您通过GPO执行此操作，请重置此GPO中的设置。2008年机器上的/clear使用“auditpol◦”来清除任何本地设置的策略。◦您必须将本地策略“审核:强制审核策略子类别设置(Windows或更高版本)”设置重写审核策略类别设置“禁用”。当您这样做并应用它时，您将看到注册表项HKLM\SYSTEM\CurrentControlSet\Control\Lsa - SCENoApplyLegacyAuditPolicy =0 (DWORD)◦，然后您需要删除audit.csv文件。对于基于域的策略，这将出现在SYSVOL [Domain]\sysvol域名\Policies{GUID}\Machine\Microsoft\Windows NT\◦◦中，用于本地策略，从所有这些位置删除Audit.csv。有些可能是隐藏的，但它们是存在的！！C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows C：\◦◦NT\ reboot现在重新启动或“gpupdate/force”，您应该会再次回到起点。顺便说一句，一旦您让2008年的R2机器再次应用旧的审计策略，我建议将策略“审核:强制审计策略子类别设置(Windows或更高版本)重写审核策略类别设置”重新设置为“not”的默认值。这样，当您在将来通过GPO进行高级审计设置时，您将不会遇到这样的情况:2008年禁用此设置的R2服务器已“固定”，然后将不应用新的高级审计设置。为了做到这一点，只需删除SCENoApplyLegacyAuditPolicy DWORD值即可。您将在本地策略中看到，这已将策略设置为“未定义”。

这似乎使审计恢复到了在我们的网络上启用高级审计之前的水平。

Answer 2

我想做同样的事情并启用高级审计策略。使用高级审计策略，角色会反转，因为您指定了所需的内容，而不是捕获所有内容。因为这只适用于Vista和更高版本，所以您可能希望将它与XP策略分开(为了澄清，如果没有其他的话)。

要做到这一点，你可以

Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy

Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings

然后配置

Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies

例如，您将希望进入对象访问并选择要被审核的内容。

Object Access: 
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)