DC的缺少帐户审计事件

Question

我最近发现，我们所有的域控制器(2008年R2、域和森林功能级别为2008年R2)不再将AD帐户登录事件记录到安全日志中。

默认域控制器GPO：

审计帐户登录事件-成功，失败审计帐户管理事件-成功，失败审计目录服务器访问-成功审计帐户登录事件-成功，失败审计系统事件-成功，失败

RSOP将上述策略显示为获胜的GPO。组策略管理控制台结果向导也显示上述策略为赢家。

当我运行auditpol /get类别时：*我得到以下结果：

System audit policy
Category/Subcategory                      Setting
  Logon/Logoff
    Logon                                   No Auditing
    Logoff                                  No Auditing
    Account Lockout                         No Auditing
    IPsec Main Mode                         No Auditing
    IPsec Quick Mode                        No Auditing
    IPsec Extended Mode                     No Auditing
    Special Logon                           No Auditing
    Other Logon/Logoff Events               No Auditing
  Account Management
    User Account Management                 No Auditing
    Computer Account Management             No Auditing
    Security Group Management               No Auditing
    Distribution Group Management           No Auditing
    Application Group Management            No Auditing
    Other Account Management Events         No Auditing
  Account Logon
    Kerberos Service Ticket Operations      No Auditing
    Other Account Logon Events              No Auditing
    Kerberos Authentication Service         No Auditing
    Credential Validation                   No Auditing

所有其他类别也都是“无审核”。

我遗漏了什么明显的东西吗？还是必须设置高级审核策略设置？

Answer 1

您应该使用高级审核策略。他们能让你更好地控制你的审计。下面链接到基本策略和高级策略https://technet.microsoft.com/en-us/library/ff182311%28v=ws.10%29.aspx#BKMK_2之间的区别

如果需要参考要设置的高级审计策略中的哪些选项，请参考独联体https://benchmarks.cisecurity.org/tools2/windows/CIS_微软_视窗_服务器_2008年_R2_基准测试_v2.1.0.pdf这样的基线