为Windows文件服务器配置审核策略

  1. 打开组策略管理控制台(GPMC)
  2. 新建一个GPO,命名为“ADAuditPlusFSPolicy”
  3. 将GPO“ ADAuditPlusFSPolicy”链接到域级别
    1. 打开GMPM|右键域 |选择链接现有GPO|选择“ADAuditPlusFSPolicy”
    File Server Group Policy
  4. 编辑"ADAuditPlusFSPolicy"(右键该策略并“编辑”)
  5. 为Windows2008及更高版本的文件服务器配置高级审核策略(推荐) 点击
    1. 计算机配置|Windows设置|安全设置|高级审核策略配置|审核策略
    2. 审核文件共享 : 选择对象访问 -> 审核文件系统(成功),审核句柄操作(成功,失败),审核文件共享(成功)
    File Server Audit Policies
  6. 为Windows2003及以下版本的文件服务器配置审核策略
    1. 点击计算机配置|Windows设置|安全设置|本地策略|审核策略
    2. 审核文件共享: 审核对象访问(成功,失败)
    File Server Audit Policies 2k3
  7. 强制高级审核策略
    1. 点击计算机配置|Windows设置|安全设置|本地策略|安全选项
    2. 启用审核:强制审核策略子类别设置(Windows Vista或更高版本)替代审核策略类别设置。
    Force Advanced Audit Policy
  8. 对已授权的用户移除“应用组策略”权限,步骤如下:
    1. 获取"ADAuditPlusFSPolicy"的GUID值
      1. 打开GPMC,点击"ADAuditPlusFSPolicy"
      2. 点击右侧的“详细信息” 
      3. 注意“唯一 ID”的值
    2. 移除已授权用户的“应用组策略”权限
      1. 打开"adsiedit.msc"; 开始 -> 运行 -> adsiedit.msc
      2. "域" -> 系统 -> 策略 -> "唯一 ID"
      3. 右键该 "唯一 ID" -> 安全 -> 高级
      4. 移除“允许”“应用组策略”
    Apply Group Policy Privilege
  9. 创建一个新的全局安全组,并向其中添加文件服务器以便进行审核。
    1. 打开ADUC|创建一个全局安全组 “ADAuditPlusFS” 。将需要审核的文件服务器添加到ADAuditPlusFS组中,作为其成员。
    Workstation Group Add
  10. 将上面的组“ADAuditPlusFS “添加到“ADAuditPlusFSPolicy”中的“安全筛选”内。
    11. Add Security Filtering File Server
    版权所有 © 2021 卓豪(中国)技术有限公司,保留一切权利