Erweiterte Sicherheitsüberwachungsrichtlinie gilt nicht für Win7


0

Problem

Ich versuche, ein Gruppenrichtlinienobjekt mit Konfigurationen für erweiterte Sicherheitsüberwachungsrichtlinien auf einen Windows 7-Client anzuwenden, aber die Einstellung wird nicht angewendet.

Ich habe meine Arbeit anhand dieses Artikels überprüft: http://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx

Ich habe Audit: Einstellungen für Überwachungsrichtlinien-Unterkategorien erzwingen (Windows Vista oder höher) aktiviert, um Einstellungen für Überwachungsrichtlinien-Kategorien zu überschreiben

Wenn ich auditpol.exe / get / category ausführe: * Es werden nur die erweiterten Standardüberwachungseinstellungen angewendet, nicht die, die ich im neuen Gruppenrichtlinienobjekt festgelegt habe. Ich weiß, dass das Gruppenrichtlinienobjekt selbst auf den Computer angewendet wird, da andere Einstellungen im Gruppenrichtlinienobjekt vorhanden sind und RSOP das erfolgreich angewendete Gruppenrichtlinienobjekt anzeigt.

Wir haben ein höheres Gruppenrichtlinienobjekt in der Organisationseinheitsstruktur, das einige erweiterte Überwachungseinstellungen anwendet. Daher dachte ich, dass es aus irgendeinem Grund stört oder übersteuert, aber sie werden auch nicht in auditpol.exe / get / category: * angezeigt. Ich habe auditpol.exe / clear ausgeführt, wodurch die Richtlinie gelöscht wird

| |

Nach auditpol.exe / clear

|

Kategorie- / Unterkategorieeinstellung

System

Erweiterung des Sicherheitssystems Keine Überwachung

Systemintegrität Keine Überwachung

IPsec-Treiber Keine Überwachung

Sonstige Systemereignisse Keine Überwachung

Änderung des Sicherheitsstatus Keine Überwachung

Anmeldung / Abmeldung

Anmeldung Keine Überwachung

Abmelden Keine Überwachung

Kontosperrung Keine Überwachung

IPsec-Hauptmodus Keine Überwachung

IPsec-Schnellmodus Keine Überwachung

Erweiterter IPSec-Modus Keine Überwachung

Spezielle Anmeldung Keine Überwachung

Andere Anmelde- / Abmeldeereignisse Keine Überwachung

Netzwerkrichtlinienserver Keine Überwachung

Objektzugriff

Dateisystem Keine Überwachung

Registry No Auditing

Kernel-Objekt Keine Überwachung

SAM Keine Prüfung

Zertifizierungsdienste Keine Prüfung

Anwendung generiert Keine Prüfung

Handle Manipulation Keine Prüfung

Dateifreigabe Keine Überwachung

Filtering Platform Packet Drop Keine Überwachung

Filtering Platform Connection Keine Überwachung

Andere Objektzugriffsereignisse Keine Überwachung

Detaillierte Dateifreigabe Keine Überwachung

Rechteverwendung

Sensible Berechtigungen verwenden keine Überwachung

Nicht vertrauliche Rechte Verwenden Sie keine Überwachung

Ereignisse zur Verwendung anderer Berechtigungen Keine Überwachung

Detailliertes Tracking

Prozessbeendigung Keine Prüfung

DPAPI-Aktivität Keine Überwachung

RPC-Ereignisse Keine Überwachung

Prozesserstellung Keine Überwachung

Richtlinienänderung

Änderung der Überwachungsrichtlinie Keine Überwachung

Änderung der Authentifizierungsrichtlinie Keine Überwachung

Änderung der Autorisierungsrichtlinie Keine Überwachung

Richtlinienänderung auf MPSSVC-Regelebene Keine Überwachung

Filtern der Plattformrichtlinienänderung Keine Überwachung

Sonstige Richtlinienänderungsereignisse Keine Überwachung

Kontoverwaltung

Benutzerkontenverwaltung Keine Überwachung

Computerkontoverwaltung Keine Überwachung

Sicherheitsgruppenverwaltung Keine Überwachung

Verteilergruppenverwaltung Keine Überwachung

Anwendungsgruppenverwaltung Keine Überwachung

Sonstige Kontoverwaltungsereignisse Keine Überwachung

DS Access-Verzeichnisdienständerungen Keine Überwachung

Verzeichnisdienstreplikation Keine Überwachung

Detaillierte Verzeichnisdienstreplikation Keine Überwachung

Verzeichnisdienstzugriff Keine Überwachung

Kontoanmeldung

Kerberos-Serviceticketvorgänge Keine Überwachung

Sonstige Kontoanmeldungsereignisse Keine Überwachung

Kerberos-Authentifizierungsdienst Keine Überwachung

Validierung des Berechtigungsnachweises Keine Prüfung

Ich habe dann ein gpupdate / force durchgeführt und neu gestartet, aber AuditPol zeigt immer noch 'no auditing' für alle Einstellungen.

Ich habe auch die Datei audit.csv in C: \ Windows \ security \ audit und gelöscht, die anscheinend die Einstellungen des Gruppenrichtlinienobjekts in der höheren Struktur enthält (obwohl ich gelesen habe, dass sie nur lokale Einstellungen enthält), jedoch nicht das neue Gruppenrichtlinienobjekt dann führte gpupdate / force durch. Nach dem Ausführen von gpupdate / force wurde die Datei wiederhergestellt und es wurden die Standardeinstellungen und die erweiterten Überwachungseinstellungen des Gruppenrichtlinienobjekts in der Organisationseinheitsstruktur angezeigt, nicht die neuen Gruppenrichtlinienobjekteinstellungen, aber auditpol zeigte weiterhin keine Überwachung für alle Einstellungen an. Außerdem war das Änderungsdatum der Datei audit.csv von vor Monaten, sodass ich vermute, dass sie nur die Informationen aus dem ursprünglichen Gruppenrichtlinienobjekt abruft. Ich habe versucht, das neue Gruppenrichtlinienobjekt durchzusetzen und höher einzustufen, aber es gilt immer noch nicht.

Umgebung

Windows 7 SP1-Client und Windows 2008 R2 DC

Jede Hilfe wird geschätzt.

Antworten:


0

Führen Sie unter Windows 7 / Vista: start> aus cmd.exe.

So listen Sie die Optionen auf:

c:\auditpol /list /subcategory:*

Kategorie / Unterkategorie

System

  • Änderung des Sicherheitsstatus
  • Erweiterung des Sicherheitssystems
  • Systemintegrität
  • IPsec-Treiber
  • Andere Systemereignisse

Anmeldung / Abmeldung

  • Einloggen
  • Ausloggen
  • Kontosperrung
  • IPsec-Hauptmodus
  • IPsec-Schnellmodus
  • Erweiterter IPsec-Modus
  • Spezielle Anmeldung
  • Andere Anmelde- / Abmeldeereignisse
  • Netzwerkrichtlinienserver

Objektzugriff

  • Dateisystem
  • Registrierung
  • Kernel-Objekt
  • SAM
  • Zertifizierungsdienste
  • Anwendung generiert
  • Handhabung
  • Dateifreigabe
  • Filtering Platform Packet Drop
  • Plattformverbindung filtern
  • Andere Objektzugriffsereignisse
  • Detaillierte Dateifreigabe

Rechteverwendung

  • Sensible Privilegienverwendung
  • Nicht vertrauliche Rechteverwendung
  • Andere Ereignisse zur Verwendung von Berechtigungen

Detailliertes Tracking

  • Prozess Erstellung
  • Prozessbeendigung
  • DPAPI-Aktivität
  • RPC-Ereignisse

Richtlinienänderung

  • Änderung der Überwachungsrichtlinie
  • Änderung der Authentifizierungsrichtlinie
  • Änderung der Autorisierungsrichtlinie
  • Richtlinienänderung auf Regelebene für MPSSVC
  • Filtern von Plattformrichtlinienänderungen
  • Sonstige Richtlinienänderungsereignisse

Kontoverwaltung

  • Benutzerkonto-Verwaltung
  • Computerkontoverwaltung
  • Sicherheitsgruppen-Management
  • Verteilergruppenverwaltung
  • Anwendungsgruppenverwaltung
  • Sonstige Kontoverwaltungsereignisse

DS-Zugriff

  • Verzeichnisdienstzugriff
  • Änderungen am Verzeichnisdienst
  • Verzeichnisdienst-Replikation
  • Detaillierte Verzeichnisdienstreplikation

Kontoanmeldung

  • Validierung des Berechtigungsnachweises
  • Kerberos-Service-Ticket-Vorgänge
  • Andere Kontoanmeldungsereignisse
  • Kerberos-Authentifizierungsdienst

Dann auditpol /set ...mit Wert einstellen. Verwenden Sie für weitere Hilfe auditpol /?.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.