Políticas de auditoria avançadas configuradas de forma incorreta; voltair ao básico?

Não posso acreditair que fiz isso … Eu estabeleci uma política de auditoria avançada em nosso GPO e encerrou todas as nossas políticas básicas. De Technet :

Depois de aplicair configurações de política de auditoria avançadas usando a Política de Grupo, você pode configurair de forma confiável a política de auditoria do sistema paira o computador, usando as configurações avançadas da política de auditoria.

Pairece estranho paira mim que não há nenhuma maneira de dizer: "Nunca diga, volte paira a auditoria básica". Não estairemos restaurando toda a networking paira backups antigos, pois faz muito tempo que a mudança foi implementada.

Uma pergunta semelhante foi feita aqui no serviewfault, mas a resposta pairece ser "configurair auditoria avançada paira executair da mesma maneira". Eu fairei isso se não tiview outra escolha, mas preferiria realmente restaurair a auditoria básica.

Ok, pairece que eu findi a resposta. Importante paira definir as configurações de subcategoria em "Desativado". O airtigo de technet vinculado nos comentários paira a resposta sugere uma configuration incorreta … Isso me tropeçou um pouco.

De http://jmfcomputers.co.uk/blog/?p=202

Paira reviewter, você precisairá fazer o seguinte:

◦ Restaure todas as configurações de auditoria avançada local. Se você fez isso via GPO, networkingfinir as configurações neste GPO.

◦ Na máquina de 2008 use "auditpol / cleair" paira limpair quaisquer políticas definidas localmente.

◦ Você deve definir a política local "Auditoria: Força as configurações de subcategoria da política de auditoria (Windows Vista ou posterior) paira replace as configurações da categoria de política de auditoria" paira DESATIVADO . Quando você faz isso e é aplicado, você viewá a key de registro HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)

◦ Então você precisa excluir os files audit.csv. Paira política baseada em domínio, isso será em SYSVOL

◦ \ [Domínio] \ sysvol [Domínio] \ Políticas {GUID} \ Máquina \ Microsoft \ Windows NT \ Audit

◦ Paira políticas locais, exclua o Audit.csv de todas essas localidades. Alguns podem estair escondidos, mas estão lá !!

◦ C: \ Windows \ security \ audit

◦ C: \ Windows \ System32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit

Agora reinicie ou "gpupdate / force" e você deve estair de volta ao começo novamente.

Aliás, uma vez que você tenha a máquina R2 2008 aplicando as políticas de auditoria antigas, eu recomendairia configurair a política "Auditoria: Forçair as configurações da subcategoria da política de auditoria (Windows Vista ou posterior) paira replace as configurações da categoria de política de auditoria" de volta ao padrão de não definido . Desta forma, quando você avançair com as configurações de Auditoria Avançada no futuro via GPO, você não terá casos em que os serveres R2 2008 que tenham essa configuration desativada que foram "corrigidos" não aplicairão as novas configurações avançadas de auditoria. Paira fazer isso, apenas exclua o valor SCENoApplyLegacyAuditPolicy DWORD. Você viewá na política local que esta configurou a política de volta paira "não definida".

Isso pairece ter restaurado a auditoria até o ponto em que era antes de permitir a auditoria avançada em nossa networking.