为工作站配置审核策略
- 打开组策略管理控制台(GPMC)。
- 新建一个GPO,名称为ADAuditPlusWSPolicy
- 将ADAuditPlusWSPolicy链接到域
- 打开GPMC,右键域名称|选择链接现有GPO|选择ADAuditPlusWSPolicy
- 编辑"ADAuditPlusWSPolicy"(右键该策略并选择“编辑”)
- 配置所需的高级审核策略,推荐使用Windows2008及更高版本操作系统。步骤如下:
- 计算机配置|Windows设置|安全设置|高级审核策略配置|审核策略
- 审核用户,组,计算机:选择“账户管理” -> “审核计算机账户管理”(成功),“审核通讯组管理”(成功),“审核安全组管理”(成功),“审核用户账户管理”(成功,失败)。
- 审核跟踪过程:选择详细跟踪 -> 审核进程创建(成功),审核进程终止(成功)。
- 审核登录/注销:选择登录/注销 ->审核登录(成功,失败),审核注销(成功),审核网络策略服务器(成功,失败),审核其他登录/注销事件(成功)。.
- 审核计划任务:选择对象访问 -> 审核其他对象访问事件(成功)。
- 审核本地策略变更:选择策略更改 ->审核身份验证策略更改(更改),审核授权策略更改(成功)
- 审核系统事件:选择系统 -> 审核安全状态更改(成功)
- 为Windows工作站配置审核策略(适用于Windows2003以及更低版本操作系统)
- 计算机配置|Windows设置|安全设置|本地策略|审核策略
- 审核登录/注销:审核登录事件(成功,失败)。
- 审核本地用户,组,计算机:审核账户管理(成功,失败)。
- 审核跟踪过程:审核过程跟踪(成功)。
- 审核计划任务:审核对象访问(成功)。
- 审核本地策略变更:审核策略更改(成功)。
- 审核系统事件:审核系统事件(成功)。
- 强制高级审核策略
- 计算机配置|Windows设置|安全设置|本地策略|安全选项
- 审核:强制审核策略子类别设置(Windows Vista或更高版本)替代审核策略类别设置。
- 对已授权的用户移除“应用组策略”权限,步骤如下:
- 获取"ADAuditPlusMSPolicy"的GUID值
- 打开GPMC,点击"ADAuditPlusMSPolicy"
- 点击右侧的“详细信息”
- 注意“唯一 ID”的值
- 移除已授权用户的“应用组策略”权限
- 打开"adsiedit.msc"; 开始 -> 运行 -> adsiedit.msc
- "域" -> 系统 -> 策略 -> "唯一 ID"
- 右键该 "唯一 ID" -> 安全 -> 高级
- 移除“允许”“应用组策略”
- 新建一个全局安全组,并向其中添加工作站以便进行审核。
- 打开ADUC|创建一个全局安全组 “ADAuditPlusWS” 。将需要审计的工作站添加到上面ADAuditPlusWS组中,作为其成员。
- 将上面创建的组“ADAuditPlusWS “添加到“ADAuditPlusWSPolicy”中的“安全筛选”内。
