web-dev-qa-db-ja.com

高度な監査ポリシーが2012 R2に適用されない

以下のいくつかの高度な監査ポリシー設定を構成しました。

Computer Configuration => Policies => Windows Settings => Security Settings => 
Advanced Audit policy Configuration => Audit Policies => ...

また、次の設定は「有効」に設定されています。

Computer Configuration => Policies => Windows Settings => Security Settings =>
Local Policies => Security Options => Audit: Force audit policy subcategory settings
(Windows Vista or later) to override audit policy category settings.

ただし、詳細な監査設定は適用されません。ランニング

auditpol /get /category:*

「監査しない」に設定されているすべてのオプションを表示します。また、廃止された監査ポリシーセットもありません。

驚いたのは、gpresultrsop.mscも「詳細な監査ポリシー」カテゴリを表示しないことです。ここで何が悪いのですか?アイデアが足りません。あなたの入力を事前にありがとう!

[1。補遺]

  1. 同じグループポリシーオブジェクトで構成されている他の設定が適用されます。したがって、一般的な落とし穴は除外できます。

  2. 元々のGPOにはMSS設定が含まれています

  3. 新しい空のGPOを作成し、高度な監査構成項目を設定するだけで、それらをターゲットサーバーに表示します(auditpolでチェックされます)。したがって、GPO自体。

[2。補遺]

  1. {GUID}\Machine\Microsoft\Windows NT\Audit\Audit.csvファイルの両方を比較すると、次の違いがわかります。 「監査」の二重発生に注意してください。

非動作バージョンのaudit.csv:

,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3

audit.csvの作業バージョン:

,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3

何が起きてる?このファイルを手動で編集しない理由はありますか?

securitygroup-policywindows-server-2012-r2
6
Matze

次の手順で解決しました。

  • すべての詳細監査構成項目を「未構成」に設定します
  • 関連するシステムでgpupdate/forceを実行します
  • 要件に応じてすべての高度な監査構成を再設定します

失敗したGPOは、高度な監査設定を既に設定しているテンプレートから作成しました。GUIDの内部不一致があったと思います...

2
Matze

これは古い質問であり、別の方法で問題を解決したと思いますが、元々機能しなかったのは、「監査:監査ポリシーのサブカテゴリ設定を強制する」が有効になっているためでした。 Technetに関するこの記事 で説明されているように:

オブジェクトアクセス監査の欠如が予想されます。高度な監査構成ポリシーの適用を開始するとすぐに、レガシーポリシーは完全に無視されます。 Win7/R2コンピューターでレガシーポリシーの使用を開始する唯一の方法は、セキュリティポリシー「監査:監査ポリシーサブカテゴリ設定(Windows Vista以降)を強制して監査ポリシーカテゴリ設定を上書きする」を無効に設定することです。これにより、新しいポリシータイプの使用が無効になります。次に、マシンから既存の高度なポリシーをクリアする必要があります(auditpol.pol/clear、空のaudit.csvファイルがあるなど)。システムは最適ではありませんが、戻る意図はありませんでした。

6
Steve Freeman

古い投稿ですが、私は同じ問題を抱えていて対処しましたが、受け入れられた解決策では成功しませんでした。

@matzeは、監査ポリシープロセスのバックエンドについて考えさせられました。プロセスを詳細に説明した次の記事を見つけました(読むことを強くお勧めします): https://blogs.technet.Microsoft.com/askds/2011/03/11/getting-the-effective -audit-policy-in-windows-7-and-2008-r2 /

レビューの結果、%systemroot%\system32\grouppolicy\machine\Microsoft\windows nt\audit\audit.csvファイルは正しく更新されていましたが、%systemroot%\security\audit\audit.csvファイルのタイムスタンプは何年も前のものです。

プロパティを見て、c:\windows\security\audit\audit.csvが読み取り専用に設定されていたため、OSがファイルを更新できなかったようです。

解決するために私は次のことをしました:

  1. 「読み取り専用」属性を削除した
  2. GPEditを使用して詳細監査ポリシー設定をエクスポートし、すべてを未構成に手動で設定しました。
  3. 中古 Auditpol /backup /file:<file> Auditpolのバックアップを作成します
  4. 中古 auditpol /clear Auditpolをクリアする
  5. Gpupdate /force
  6. auditpol /get /category:*すべてがクリアされたことを確認する
  7. 詳細監査ポリシー設定をGPEditに再インポートしました
  8. Gpupdate /force
  9. auditpol /get /category:*すべてが正しく正しく設定されていることを確認する

修正を確認するために、GPEDIT、gpupdateの設定、auditpol/getの設定を変更しました。変更は正しく表示されました。

2
duct_tape_coder

私はちょうど同じ問題に遭遇しました。それは操作の順序の問題であることが判明しました。すべての詳細なログ設定を設定し、then設定監査:監査ポリシーサブカテゴリ設定(Windows Vista以降)を強制して監査ポリシーカテゴリ設定を上書きするを有効に設定します。他の設定は影響を受けるテストシステムに明確に適用されましたが、ログ設定はそうではありませんでした。それらは実際のエディターに表示されましたが、設定の概要には表示されませんでした。

プロセスとXMLファイル(ほとんど空でした)を処理するまで、これに戸惑いました。設定が行われると設定がファイルに追加されますnless有効にするために必要なマスター設定など、他の何かが設定を上書きします。そのマスター設定がGPOの別の部分にある場合、変更時書き込みプロセスはポリシー全体を認識しない場合があります。

解決策:詳細設定に戻り、1つの設定を無効にして[OK]をクリックしてから、戻って再度有効にします。ロギング設定全体が表示されます。エディターを閉じます。 GPOは、次回の更新時に影響を受けるシステムに移動し、次回の再起動時に有効になります。

1
NetworkLlama