- Вопрос или проблема
- Ответ или решение
- Причины, по которым политика расширенного аудита безопасности не применяется к Windows 7 и способы решения проблемы
- 1. Проверка Групповой Политики (GPO)
- 2. Конфликт с другими политиками
- 3. Изменение параметров безопасности
- 4. Используйте правильные команды для проверки настроек аудита
- 5. Использование команд gpupdate и перезагрузка
- 6. Удаление конфликтующих файлов аудита
- 7. Проверка системных журналов
- Заключение
Вопрос или проблема
Проблема
Я пытаюсь применить GPO с конфигурациями расширенной политики аудита безопасности к клиенту Windows 7, но настройки не применяются.
Я дважды проверил свою работу, используя эту статью – http://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx
Я включил аудит: принудительные настройки подкатегорий политики аудита (Windows Vista или более поздние версии), чтобы переопределить настройки категории политики аудита
Когда я запускаю auditpol.exe /get /category:* я вижу, что применяются только настройки по умолчанию для расширенного аудита, а не те, которые я настроил в новой GPO. Я знаю, что сама GPO применяется к компьютеру, потому что другие настройки в GPO присутствуют, и RSOP показывает, что GPO успешно применена.
У нас есть GPO, которая выше в структуре OU и применяет некоторые настройки расширенного аудита, поэтому я думал, что она каким-то образом мешает или переопределяет, но они также не отображаются в auditpol.exe /get /category:*. Я выполнил auditpol.exe /clear, чтобы очистить политику
|
|
После auditpol.exe /clear
|
Категория/Подкатегория Настройка
Система
Расширение безопасности системы Нет аудита
Целостность системы Нет аудита
Драйвер IPsec Нет аудита
Другие системные события Нет аудита
Изменение состояния безопасности Нет аудита
Вход/Выход
Вход Нет аудита
Выход Нет аудита
Блокировка учетной записи Нет аудита
Основной режим IPsec Нет аудита
Быстрый режим IPsec Нет аудита
Расширенный режим IPsec Нет аудита
Специальный вход Нет аудита
Другие события входа/выхода Нет аудита
Сервер сетевой политики Нет аудита
Доступ к объектам
Файловая система Нет аудита
Реестр Нет аудита
Объект ядра Нет аудита
SAM Нет аудита
Службы сертификации Нет аудита
Сгенерированные приложением Нет аудита
Манипуляция дескриптором Нет аудита
Общий доступ к файлам Нет аудита
Потеря пакетов платформы фильтрации Нет аудита
Соединение платформы фильтрации Нет аудита
Другие события доступа к объектам Нет аудита
Детальный общий доступ к файлам Нет аудита
Использование привилегий Нет аудита
Использование чувствительных привилегий Нет аудита
Использование нечувствительных привилегий Нет аудита
Другие события использования привилегий Нет аудита
Детальное отслеживание Нет аудита
Завершение процесса Нет аудита
Активность DPAPI Нет аудита
События RPC Нет аудита
Создание процесса Нет аудита
Изменение политики Нет аудита
Изменение политики аудита Нет аудита
Изменение политики аутентификации Нет аудита
Изменение политики авторизации Нет аудита
Изменение политики уровня MPSSVC Нет аудита
Изменение политики фильтрации Нет аудита
Другие события изменения политики Нет аудита
Управление учетными записями Нет аудита
Управление учетными записями пользователей Нет аудита
Управление учетными записями компьютеров Нет аудита
Управление группами безопасности Нет аудита
Управление группами распределения Нет аудита
Управление группами приложений Нет аудита
Другие события управления учетными записями Нет аудита
Доступ DS
Изменения в службе каталогов Нет аудита
Репликация службы каталогов Нет аудита
Детальная репликация службы каталогов Нет аудита
Доступ к службе каталогов Нет аудита
Вход в учетную запись Нет аудита
Операции с билетами службы Kerberos Нет аудита
Другие события входа в учетную запись Нет аудита
Служба аутентификации Kerberos Нет аудита
Проверка учетных данных Нет аудита
После этого я выполнил gpupdate /force и перезагрузил компьютер, но AuditPol все еще показывает ‘нет аудита’ для всех настроек.
Я также удалил файл audit.csv, который, похоже, содержит настройки GPO, находящейся выше в структуре (хотя я читал, что он содержит только локальные настройки), но не новые настройки GPO, в C:\Windows\security\audit, а затем выполнил gpupdate /force. После выполнения gpupdate /force файл был восстановлен, и он показал настройки по умолчанию и расширенные настройки аудита из GPO, находящейся выше в структуре OU, а не новые настройки GPO, но auditpol по-прежнему показывает отсутствие аудита для всех настроек. Также дата изменения файла audit.csv была несколько месяцев назад, так что я подозреваю, что он просто извлекает данные из исходной GPO? Я пытался применить новые GPO и поднять его рейтинг, но он все равно не применяется.
Окружение
Клиент Windows 7 SP1 и Windows 2008R2 DC
Любая помощь будет оценена.
В Windows 7 / Vista:, выполните start > cmd.exe.
Чтобы перечислить опции:
c:\auditpol /list /subcategory:*
Категория/Подкатегория
Система
- Изменение состояния безопасности
- Расширение безопасности системы
- Целостность системы
- Драйвер IPsec
- Другие системные события
Вход/Выход
- Вход
- Выход
- Блокировка учетной записи
- Основной режим IPsec
- Быстрый режим IPsec
- Расширенный режим IPsec
- Специальный вход
- Другие события входа/выхода
- Сервер сетевой политики
Доступ к объектам
- Файловая система
- Реестр
- Объект ядра
- SAM
- Службы сертификации
- Сгенерированные приложением
- Манипуляция дескриптором
- Общий доступ к файлам
- Потеря пакетов платформы фильтрации
- Соединение платформы фильтрации
- Другие события доступа к объектам
- Детальный общий доступ к файлам
Использование привилегий
- Использование чувствительных привилегий
- Использование нечувствительных привилегий
- Другие события использования привилегий
Детальное отслеживание
- Создание процесса
- Завершение процесса
- Активность DPAPI
- События RPC
Изменение политики
- Изменение политики аудита
- Изменение политики аутентификации
- Изменение политики авторизации
- Изменение политики уровня MPSSVC
- Изменение политики фильтрации
- Другие события изменения политики
Управление учетными записями
- Управление учетными записями пользователей
- Управление учетными записями компьютеров
- Управление группами безопасности
- Управление группами распределения
- Управление группами приложений
- Другие события управления учетными записями
Доступ DS
- Доступ к службе каталогов
- Изменения в службе каталогов
- Репликация службы каталогов
- Детальная репликация службы каталогов
Вход в учетную запись
- Проверка учетных данных
- Операции с билетами службы Kerberos
- Другие события входа в учетную запись
- Служба аутентификации Kerberos
Затем используйте auditpol /set ... для установки значения. Для получения дополнительной помощи используйте auditpol /?.
Ответ или решение
Причины, по которым политика расширенного аудита безопасности не применяется к Windows 7 и способы решения проблемы
Когда политика расширенного аудита безопасности (Advanced Security Audit Policy) не применяется к клиенту Windows 7, это может быть вызвано рядом факторов. В этой статье мы подробно рассмотрим потенциальные причины проблемы и предложим практические решения, которые помогут вам успешно применить необходимые настройки.
1. Проверка Групповой Политики (GPO)
Первым шагом является подтверждение того, что политика действительно применяется к компьютеру. Использование команд gpresult /h report.html или rsop.msc позволяет получить информацию о том, какие группы и политики применяются к текущему пользователю и компьютеру. Проверьте, что нужная политика присутствует в списке, и что ее настройки совпадают с теми, которые вы хотите применить.
2. Конфликт с другими политиками
Если в вашей структуре OU есть другие политики, которые также касаются расширенного аудита, они могут конфликтовать или переопределять ваши настройки. Вам стоит проверить приоритеты групповых политик и убедиться, что новая GPO имеет более высокий приоритет, чем предыдущие. Также убедитесь, что в свойствах GPO включена галочка "Принудительное применение" (Enforced).
3. Изменение параметров безопасности
Вы упомянули, что включили параметр "Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings". Убедитесь, что этот параметр настроен на всех соответствующих OU и на контроллере домена. Обратите внимание на возможность локальной политики, которая может перезаписывать настройки GPO.
4. Используйте правильные команды для проверки настроек аудита
Команды auditpol.exe являются вашими основными инструментами для проверки и изменения настроек аудита. Если auditpol.exe /get /category:* показывает "No Auditing" для всех категорий, это может указывать на то, что нужные настройки не были применены. Используйте auditpol /list /subcategory:* для диагностики и проверки, доступны ли нужные подкатегории.
5. Использование команд gpupdate и перезагрузка
После внесения изменений всегда желательно выполнять gpupdate /force, чтобы убедиться, что обновления применяются. Вы также можете попробовать перезагрузить клиент, чтобы проверить, применяется ли политика на этапе загрузки.
6. Удаление конфликтующих файлов аудита
Удаление файла audit.csv является правильным шагом, однако убедитесь, что он не создается снова по каким-либо причинам. Иногда этот файл может включать в себя данные более ранних настроек, и, если он не очищается должным образом, вы не увидите актуальные настройки. Убедитесь, что ваша ГПО правильно настроена, и после удаления файла проверьте, какие настройки опять появляются после применения gpupdate.
7. Проверка системных журналов
Если после всех предыдущих шагов проблема остаётся, стоит проверить системные журналы на наличие сообщений об ошибках, связанных с GPO. Используйте Event Viewer для анализа журналов событий и ищите любые предупреждения или ошибки, связанные с политиками.
Заключение
Проблема с применением политики расширенного аудита к Windows 7 может быть вызвана множеством факторов, включая конфликты с другими политиками, неправильные настройки и отсутствие обновлений. Тщательное следование вышеуказанным шагам позволит вам диагностировать и решить проблему. Надеемся, что эти рекомендации помогут вам правильно настроить аудит в вашей сети. Если ситуация не изменится, вы всегда можете обратиться за поддержкой к опытному специалисту в области IT-безопасности.