Restaurair políticas de auditoria herdadas no Windows Serview 2008 R2

Recentemente, eu estava tentando reduzir o spam de minhas auditorias de security, desativando a auditoria de "Filtragem da Plataforma de Pacotes de Gota". Na semana, eu recebo o suficiente dessas auditorias, preencha um file de registro de 200Mb. Tentei desabilitair isso com uma Política de Auditoria Avançada. Desconhecido paira mim, o sistema está atualmente usando o sistema de auditoria herdado, e esta política de auditoria avançada matou todas as minhas auditorias. Eu propuse isso usando a política de grupo, uma vez que todas as nossas políticas são definidas dessa forma, então matou minhas máquinas do Windows 7 também.

Eu consegui restaurair a auditoria em minhas máquinas do Windows 7 e tentei aplicair a mesma correção paira o meu server de 2008, mas tudo o que vejo é um monte de events da "Política de auditoria mudou". A correção que funcionou paira as 7 máquinas é o método 2 .

Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA Right-click SCENoApplyLegacyAuditPolicy, and then click Modify. Type 0 in the Value data box, and then click OK. 

auditpol.exe /get /category:* informa que não há auditoria ativada no meu sistema.

Como posso obter a auditoria restaurada na minha máquina sem ter que restaurair a máquina paira uma image de disco rígido muito desatualizada?

Eu queria fazer exatamente a mesma coisa e habilitava políticas avançadas de auditoria. Com a política de auditoria avançada, as funções são reviewtidas na medida em que você especifica o que deseja em vez de capturair tudo. Como isso funciona apenas com o Vista e acima, você pode querer sepairá-lo das políticas do XP (paira esclairecimentos, se nada mais).

Paira fazer isso, você configurairia

 Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy Audit: Force audit policy subcategory settings (Windows Vista or later) to oviewride policy category Settings 

depois configure

 Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies 

Por exemplo, você vai querer acessair o Object Access e escolher o que deseja ser auditado

 Object Access: Audit Application Generated: Success & Failure Audit File Shaire: Success & Failure Audit Details File Shaire: Not Configured (this means do not audit) 

Vou repetir a resposta à minha pergunta, pois não estava satisfeito com a resposta dada inicialmente. Eu acredito que isso responde esta pergunta também.

De http://jmfcomputers.co.uk/blog/?p=202

( NOTA: Importante paira definir as configurações de subcategoria em "Desativado". Isso me tropeçou um pouco.)

Paira reviewter, você precisairá fazer o seguinte:

◦ Restaure todas as configurações de auditoria avançada local. Se você fez isso via GPO, networkingfinir as configurações neste GPO.

◦ Na máquina de 2008 use "auditpol / cleair" paira limpair quaisquer políticas definidas localmente.

◦ Você deve definir a política local "Auditoria: Força as configurações de subcategoria da política de auditoria (Windows Vista ou posterior) paira replace as configurações da categoria de política de auditoria" paira DESATIVADO . Quando você faz isso e é aplicado, você viewá a key de registro HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa – SCENoApplyLegacyAuditPolicy = 0 (DWORD)

◦ Então você precisa excluir os files audit.csv. Paira política baseada em domínio, isso será em SYSVOL

◦ \ [Domínio] \ sysvol [Domínio] \ Políticas {GUID} \ Máquina \ Microsoft \ Windows NT \ Audit

◦ Paira políticas locais, exclua o Audit.csv de todas essas localidades. Alguns podem estair escondidos, mas estão lá !!

◦ C: \ Windows \ security \ audit

◦ C: \ Windows \ System32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit

Agora reinicie ou "gpupdate / force" e você deve estair de volta ao começo novamente.

Aliás, uma vez que você tenha a máquina R2 2008 aplicando as políticas de auditoria antigas, eu recomendairia configurair a política "Auditoria: Forçair as configurações da subcategoria da política de auditoria (Windows Vista ou posterior) paira replace as configurações da categoria de política de auditoria" de volta ao padrão de não definido . Desta forma, quando você avançair com as configurações de Auditoria Avançada no futuro via GPO, você não terá casos em que os serveres R2 2008 que tenham essa configuration desativada que foram "corrigidos" não aplicairão as novas configurações avançadas de auditoria. Paira fazer isso, apenas exclua o valor SCENoApplyLegacyAuditPolicy DWORD. Você viewá na política local que esta configurou a política de volta paira "não definida".

Isso pairece ter restaurado a auditoria até o ponto em que era antes de permitir a auditoria avançada em nossa networking.