Problem
Ich versuche, ein Gruppenrichtlinienobjekt mit Konfigurationen für erweiterte Sicherheitsüberwachungsrichtlinien auf einen Windows 7-Client anzuwenden, aber die Einstellung wird nicht angewendet.
Ich habe meine Arbeit anhand dieses Artikels überprüft: http://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx
Ich habe Audit: Einstellungen für Überwachungsrichtlinien-Unterkategorien erzwingen (Windows Vista oder höher) aktiviert, um Einstellungen für Überwachungsrichtlinien-Kategorien zu überschreiben
Wenn ich auditpol.exe / get / category ausführe: * Es werden nur die erweiterten Standardüberwachungseinstellungen angewendet, nicht die, die ich im neuen Gruppenrichtlinienobjekt festgelegt habe. Ich weiß, dass das Gruppenrichtlinienobjekt selbst auf den Computer angewendet wird, da andere Einstellungen im Gruppenrichtlinienobjekt vorhanden sind und RSOP das erfolgreich angewendete Gruppenrichtlinienobjekt anzeigt.
Wir haben ein höheres Gruppenrichtlinienobjekt in der Organisationseinheitsstruktur, das einige erweiterte Überwachungseinstellungen anwendet. Daher dachte ich, dass es aus irgendeinem Grund stört oder übersteuert, aber sie werden auch nicht in auditpol.exe / get / category: * angezeigt. Ich habe auditpol.exe / clear ausgeführt, wodurch die Richtlinie gelöscht wird
| |
Nach auditpol.exe / clear
|
Kategorie- / Unterkategorieeinstellung
System
Erweiterung des Sicherheitssystems Keine Überwachung
Systemintegrität Keine Überwachung
IPsec-Treiber Keine Überwachung
Sonstige Systemereignisse Keine Überwachung
Änderung des Sicherheitsstatus Keine Überwachung
Anmeldung / Abmeldung
Anmeldung Keine Überwachung
Abmelden Keine Überwachung
Kontosperrung Keine Überwachung
IPsec-Hauptmodus Keine Überwachung
IPsec-Schnellmodus Keine Überwachung
Erweiterter IPSec-Modus Keine Überwachung
Spezielle Anmeldung Keine Überwachung
Andere Anmelde- / Abmeldeereignisse Keine Überwachung
Netzwerkrichtlinienserver Keine Überwachung
Objektzugriff
Dateisystem Keine Überwachung
Registry No Auditing
Kernel-Objekt Keine Überwachung
SAM Keine Prüfung
Zertifizierungsdienste Keine Prüfung
Anwendung generiert Keine Prüfung
Handle Manipulation Keine Prüfung
Dateifreigabe Keine Überwachung
Filtering Platform Packet Drop Keine Überwachung
Filtering Platform Connection Keine Überwachung
Andere Objektzugriffsereignisse Keine Überwachung
Detaillierte Dateifreigabe Keine Überwachung
Rechteverwendung
Sensible Berechtigungen verwenden keine Überwachung
Nicht vertrauliche Rechte Verwenden Sie keine Überwachung
Ereignisse zur Verwendung anderer Berechtigungen Keine Überwachung
Detailliertes Tracking
Prozessbeendigung Keine Prüfung
DPAPI-Aktivität Keine Überwachung
RPC-Ereignisse Keine Überwachung
Prozesserstellung Keine Überwachung
Richtlinienänderung
Änderung der Überwachungsrichtlinie Keine Überwachung
Änderung der Authentifizierungsrichtlinie Keine Überwachung
Änderung der Autorisierungsrichtlinie Keine Überwachung
Richtlinienänderung auf MPSSVC-Regelebene Keine Überwachung
Filtern der Plattformrichtlinienänderung Keine Überwachung
Sonstige Richtlinienänderungsereignisse Keine Überwachung
Kontoverwaltung
Benutzerkontenverwaltung Keine Überwachung
Computerkontoverwaltung Keine Überwachung
Sicherheitsgruppenverwaltung Keine Überwachung
Verteilergruppenverwaltung Keine Überwachung
Anwendungsgruppenverwaltung Keine Überwachung
Sonstige Kontoverwaltungsereignisse Keine Überwachung
DS Access-Verzeichnisdienständerungen Keine Überwachung
Verzeichnisdienstreplikation Keine Überwachung
Detaillierte Verzeichnisdienstreplikation Keine Überwachung
Verzeichnisdienstzugriff Keine Überwachung
Kontoanmeldung
Kerberos-Serviceticketvorgänge Keine Überwachung
Sonstige Kontoanmeldungsereignisse Keine Überwachung
Kerberos-Authentifizierungsdienst Keine Überwachung
Validierung des Berechtigungsnachweises Keine Prüfung
Ich habe dann ein gpupdate / force durchgeführt und neu gestartet, aber AuditPol zeigt immer noch 'no auditing' für alle Einstellungen.
Ich habe auch die Datei audit.csv in C: \ Windows \ security \ audit und gelöscht, die anscheinend die Einstellungen des Gruppenrichtlinienobjekts in der höheren Struktur enthält (obwohl ich gelesen habe, dass sie nur lokale Einstellungen enthält), jedoch nicht das neue Gruppenrichtlinienobjekt dann führte gpupdate / force durch. Nach dem Ausführen von gpupdate / force wurde die Datei wiederhergestellt und es wurden die Standardeinstellungen und die erweiterten Überwachungseinstellungen des Gruppenrichtlinienobjekts in der Organisationseinheitsstruktur angezeigt, nicht die neuen Gruppenrichtlinienobjekteinstellungen, aber auditpol zeigte weiterhin keine Überwachung für alle Einstellungen an. Außerdem war das Änderungsdatum der Datei audit.csv von vor Monaten, sodass ich vermute, dass sie nur die Informationen aus dem ursprünglichen Gruppenrichtlinienobjekt abruft. Ich habe versucht, das neue Gruppenrichtlinienobjekt durchzusetzen und höher einzustufen, aber es gilt immer noch nicht.
Umgebung
Windows 7 SP1-Client und Windows 2008 R2 DC
Jede Hilfe wird geschätzt.
quelle