首页 »
下载PDF
 

手动配置AD审核策略

1. 配置要审核的 Windows 服务器列表
  1. 打开“Active Directory 用户和计算机”
  2. 右键单击域,然后选择“新建>组”。
  3. 在打开的“新建对象 - 组”窗口中,键入“ADAuditPlusMS”作为“组名称”,选中“组范围:本地域”和“组类型:安全性”。单击“确定”
  4. 右键单击新创建的组,然后选择“属性”>“成员”>“添加”。将要审核的所有 Windows 服务器添加为此组的成员。单击“确定”
  5. 使用域管理员凭据登录到具有组策略管理控制台 (GPMC) 的任何计算机。

    注意:默认情况下,GPMC 不会安装在工作站上和/或在成员服务器上启用,因此我们建议在 Windows 域控制器上配置审核策略。否则,请按照本页中的步骤在所需的成员服务器或工作站上安装 GPMC。

  6. 转到“开始”>“Windows 管理工具”>组策略管理
  7. GPMC 中,右键单击要在其中配置组策略的域。选择“创建 GPO 并在此处链接”。在打开的“新建 GPO”窗口中,键入“ADAuditPlusMSPolicy”,然后单击“确定”
  8. 选择 ADAuditPlusMSPolicy GPO。在“安全筛选”下,选择“经过身份验证的用户”。单击“删除”。在打开的“组策略管理”窗口中,选择“确定”
  9. 选择 ADAuditPlusMSPolicy GPO。在“安全筛选”下,单击“添加”,然后选择之前创建的安全组 ADAuditPlusMS。单击“确定”。
    10. “管理”选项卡下的常规设置
2. 配置高级审核策略

高级审核策略可帮助管理员对日志中记录的活动进行精细控制,从而帮助减少事件干扰。建议在 Windows Server 2008 及更高版本上配置高级审核策略。

  1. 使用域管理员凭据登录到具有 GPMC 的任何计算机。打开 GPMC,然后右键单击“ADAuditPlusMSPolicy”,然后选择“编辑”
  2. 在组策略管理编辑器中,转到“计算机配置→策略”→“Windows 设置”→“安全设置”→“高级审核策略配置”→“审核策略”。双击相关策略设置。
  3. 导航到右侧窗格,然后右键单击相关的子类别。选择“属性”,然后选择“成功”和/或“失败”,如下表所示。
类别 子领域 审核事件
账户管理
  • 审计计算机帐户管理
  • 审核通讯组管理
  • 审核安全组管理
  • 审核用户帐户管理
成功
成功与失败
详细跟踪
  • 创建审核流程
  • 审计流程终止
 成功
DS 访问
  • 审核目录服务更改
  • 审核目录服务访问
 成功
登录/注销
  • 审核登录
  • 审核网络策略服务器
  • 审核其他登录/注销事件
  • 审核注销
成功与失败
成功
对象访问
  • 审计文件系统
  • 审核句柄操作
  • 审核文件共享
 成功与失败
政策变更
  • 审核身份验证策略更改
  • 审核授权策略更改
 成功
系统
  • 审核安全状态更改
 成功
“管理”选项卡下的常规设置
3. 强制执行高级审计策略

使用高级审核策略时,请确保强制执行旧审核策略。

  1. 使用域管理员凭据登录到具有 GPMC 的任何计算机。打开 GPMC,右键单击“ADAuditPlusMSPolicy”,然后选择“编辑”。
  2. 在组策略管理编辑器中,转到“计算机配置→策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”。
  3. 导航到右侧窗格,然后右键单击“审核:强制审核策略子类别设置”。选择“属性”,然后选择“启用”。
“管理”选项卡下的常规设置
4. 配置旧审核策略

由于 Windows Server 2003 及更早版本中的高级审核策略不可用,因此需要为这些类型的服务器配置旧版审核策略。

  1. 使用域管理员凭据登录到具有 GPMC 的任何计算机。打开 GPMC,右键单击“ADAuditPlusMSPolicy”,然后选择“编辑”。
  2. 在组策略管理编辑器中,转到“计算机配置→策略”→“Windows 设置”→“安全设置”→“本地策略”,然后双击“审核策略”。
  3. 导航到右侧窗格,然后右键单击相关策略。选择“属性”,然后选择“成功”和/或“失败”,如下表所示:
    4. 类别 审核事件
    帐户登录 成功与失败
    审核登录/注销 成功与失败
    账户管理 成功
    目录服务访问 成功
    过程跟踪 成功
    对象访问 成功
    系统事件 成功
“管理”选项卡下的常规设置

在这篇文章中

我们的客户