错误地配置了高级审计策略；返回到basic吗？

Question

我不敢相信我做了这个..。我在GPO中设置了一个先进的审计政策，它关闭了我们所有的基本政策。来自技术网来自技术网：

使用组策略应用高级审核策略设置后，只能使用高级审核策略设置可靠地为计算机设置系统审核策略。

我觉得奇怪的是，没有办法说，“不，回到基本审计”。我们不会恢复整个网络的旧备份，因为它已经太久以来，改变是到位的。

这里询问了一个关于服务器错误的相似问题，但答案似乎是“将高级审计配置为执行相同的方式”。如果我没有其他选择的话，我会这样做，但我更愿意恢复基本的审计。

Answer 1

好的，看来我找到了答案。重要的是要将子类别设置设置为“禁用”。答案注释中链接的technet文章表示配置不正确.把我绊倒了一会。

来自http://jmfcomputers.co.uk/blog/?p=202

为了回滚，您需要执行以下操作：◦重置所有本地高级审计设置。如果您通过GPO执行此操作，请重置此GPO中的设置。2008年机器上的/clear使用“auditpol◦”来清除任何本地设置的策略。◦您必须将本地策略“审核:强制审核策略子类别设置(Windows或更高版本)”设置重写审核策略类别设置“禁用”。当您这样做并应用它时，您将看到注册表项HKLM\SYSTEM\CurrentControlSet\Control\Lsa - SCENoApplyLegacyAuditPolicy =0 (DWORD)◦，然后您需要删除audit.csv文件。对于基于域的策略，这将出现在SYSVOL [Domain]\sysvol域名\Policies{GUID}\Machine\Microsoft\Windows NT\◦◦中，用于本地策略，从所有这些位置删除Audit.csv。有些可能是隐藏的，但它们是存在的！！C:\Windows\System32\GroupPolicy\Machine\Microsoft\Windows C：\◦◦NT\ reboot现在重新启动或“gpupdate/force”，您应该会再次回到起点。顺便说一句，一旦您让2008年的R2机器再次应用旧的审计策略，我建议将策略“审核:强制审计策略子类别设置(Windows或更高版本)重写审核策略类别设置”重新设置为“not”的默认值。这样，当您在将来通过GPO进行高级审计设置时，您将不会遇到这样的情况:2008年禁用此设置的R2服务器已“固定”，然后将不应用新的高级审计设置。为了做到这一点，只需删除SCENoApplyLegacyAuditPolicy DWORD值即可。您将在本地策略中看到，这已将策略设置为“未定义”。

这似乎使审计恢复到了在我们的网络上启用高级审计之前的水平。

Answer 2

实际上，对我来说，只需回滚注册表设置；这将子类别设置为"Not“。顺便指出，本地策略编辑器MMC视图(gpedit.msc或secpol.msc)中与上述注册表设置相对应的位置:在“计算机配置->Windows”(如果在“gpedit.msc”中)下，导航到“安全设置->本地策略->安全选项”，设置“审核:强制审核策略子类别设置”。为了证明这一点，我首先将高级子CSV设置转储到CSV：auditpol.exe /backup /file:<path\>AuditPolicy.csv。前5个设置("IPsec驱动程序“、”系统完整性“、”安全系统扩展“、”安全状态更改“、”其他系统事件“)与"...Security设置->高级审核策略配置->系统审核策略--本地组策略对象-> System”下的高级子same设置相同。CSV文件中的值分别反映了本地Pol中的默认值：3, 3, 1, 1, 3 (1="Success"，3="Success/Failure")。然后，我在本地Pol编辑器MMC中设置了“审核:强制审核策略子类别设置”(前面提到的路径)，重新启动(需要生效)，然后重新运行auditpol.exe /backup /file:<path\>J:\AuditPolicy.csv以再次转储高级pol设置:所有5个顶级值都是0。

Answer 3

在有人打开高级审计之后，我的默认域策略出现了问题。

在开始复制正在处理的默认策略或策略之前，请右键单击组策略对象文件夹中的默认策略或策略，然后右键单击组策略对象文件夹并粘贴。(这将不会链接副本。)这是以后要重新创建的设置的参考。

解决的方法是在sysvol中找到策略以完成此操作，在组策略编辑器中选择策略。转到右侧，选择details选项卡。这里的详细信息显示了C:\windows\sysvol\sysvol\yourdomain.dom\policies\中文件夹的哈希名称。

查找具有该名称的散列文件夹，并查找并删除审核文件夹。它包含前面提到的相同的.csv。现在您必须输入默认的锁定、密码、kerberos、审计和事件日志设置。这将阻止高级审计问题的发生。