實施要求:
1�����、開啟本地策略->審核策略下的所有策略(成功和失?��。?���,如圖:
.jpg)
2�、開啟審核篩選平臺連接,如圖:(這是一個雷����,后面正文中會提到)
總結(jié):此次實施需要接入上百臺WindowsServer服務(wù)器審核日志,沒有域�,所以只能一臺臺手動配置,為增加工作效率���,從而使用批處理命令完成操作����。
創(chuàng)新互聯(lián)建站是創(chuàng)新���、創(chuàng)意�、研發(fā)型一體的綜合型網(wǎng)站建設(shè)公司,自成立以來公司不斷探索創(chuàng)新�,始終堅持為客戶提供滿意周到的服務(wù),在本地打下了良好的口碑�����,在過去的10年時間我們累計服務(wù)了上千家以及全國政企客戶���,如成都航空箱等企業(yè)單位����,完善的項目管理流程�,嚴(yán)格把控項目進(jìn)度與質(zhì)量監(jiān)控加上過硬的技術(shù)實力獲得客戶的一致夸獎。
步驟詳情:
1����、 使用secedit命令進(jìn)行策略設(shè)置
secedit語法參考:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/secedit
echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=3 >>1.inf
echo AuditObjectAccess=3 >>1.inf
echo AuditPrivilegeUse=3 >>1.inf
echo AuditPolicyChange=3 >>1.inf
echo AuditAccountManage=3 >>1.inf
echo AuditProcessTracking=3 >>1.inf
echo AuditDSAccess=3 >>1.inf
echo AuditAccountLogon=3 >>1.inf
echo AuditLogonEvents=3 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*
執(zhí)行方法:將上述命令復(fù)制黏貼到txt文本中�,修改文件后綴名為.bat,以管理員身份運行(此處必須使用管理員身份運行)
注釋:上述命令中參數(shù)值為3�,表示審核成功和失敗。參數(shù)值為0時���,表示無審核���。
這個命令執(zhí)行完成后���,將在當(dāng)前目錄產(chǎn)生一個1.sdb,它是“中間產(chǎn)品”��,你可以刪除它�����。
/quiet參數(shù)表示“安靜模式”����,不產(chǎn)生日志。但也有可能會產(chǎn)生日志��。最后del 1.*表示刪除名稱為“1”的所有文件(也就是執(zhí)行上述命令式產(chǎn)生的文件)�。
正文開始
剛才就是全部的正式內(nèi)容了,下面為大家講講我整個過程中遇到的問題以及解決方法���。(其實個人認(rèn)為這才是真正有用的內(nèi)容�����,經(jīng)驗難得)
Model1:
剛拿到需求的時候我是想先在一臺服務(wù)器上配置好審核策略��,然后使用secedit命令導(dǎo)出配置好的策略�,然后導(dǎo)入其他服務(wù)器。
問題1:服務(wù)器太多���,業(yè)務(wù)不同����。貿(mào)然導(dǎo)入策略有可能會影響業(yè)務(wù)
問題2:secedit命令只能導(dǎo)入導(dǎo)出本地策略��,不能對高級審核策略生效
故此方法放棄�����。
Model2:
使用命令行配置需要更改的策略����。secedit命令操作本地策略,auditpol操作高級審核策略����。
auditpol語法參考:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/auditpol
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
AuditPol /set /subcategory:"篩選平臺連接" /failure:enable /success:enable
問題1:命令中的中文字符在批處理命令運行時顯示亂碼�,無法執(zhí)行(單獨執(zhí)行時則成功)
解決:使用*auditpol /list /subcategory: /r命令查看對象訪問和篩選平臺連接的sid**��。
這里請自行查詢并更改sid��。如下圖:
執(zhí)行如下命令:
auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable
此時問題又來了����,執(zhí)行完上述命令后居然提示參數(shù)不對����??���?此時心中一萬只草泥馬飛過�,查邊論壇無果����,命令也是從從微軟官方示例復(fù)制過來的,現(xiàn)在我只懷疑這是玄學(xué)問題��,不過小伙伴們可以試一下�����,萬一呢�����?
問題2:不多數(shù),直接上圖
提示命令成功��,執(zhí)行gpupdate /force命令更新策略���,打開審核篩選平臺連接后顯示“未配置”��,這可能又是一個玄學(xué)問題吧����!
解決:命令行輸入secpol.msc��,打開配置窗口�,手動點擊審核篩選平臺連接進(jìn)行配置。(兜兜轉(zhuǎn)轉(zhuǎn)最后還是得手動勾選)
這是一個雷
當(dāng)我做到這一步時�����,我?guī)捉罎?����。原因容我娓娓道來�����,?dāng)我使用批處理命令配置完審核策略后���,手動配置了審核篩選平臺連接����。命令行輸入gpupdate /force更新策略��,我以為大功告成了��,可是發(fā)生了這一幕:
.jpg)
我擦了擦眼��,我沒看花眼���,你們也沒看花眼�。之前配置無誤的審核策略全都變成了“無審核”����。一遍逛論壇一邊自行嘗試,最終發(fā)現(xiàn)問題所在:
設(shè)置高級審核策略后���,會覆蓋本地策略
在高級策略中我只設(shè)置了篩選平臺連接��,其他未設(shè)置����,所以最終被覆蓋為未審核。
解決方法1:手動將高級策略中的全部選項勾選�,這樣即便本地策略被覆蓋,依然會得到更詳細(xì)的日志�。
解決方法2:不設(shè)置高級策略。
未完待續(xù)��!
當(dāng)前標(biāo)題:記一次曲折的安全策略配置
當(dāng)前URL:
http://weahome.cn/article/jdpgdg.html
重慶分公司
重慶分公司
