在 Windows Server 2008 R2  的稽核功能中，新增了「進階稽核」，此功能將原來的稽核功能劃分的更細，舉例而言，以前如果要針對某個資料夾進行檔案稽核時，必須開啟稽核物件存取的原則，相信使用過這個原則的 IT 人都知道，如此會造成 event logs 爆炸性的成長，事際上我們只需要稽核檔案的存取而已。終於，在 2008 R2 的版本中，我們看到了改善。 使用進階稽核之前，必須要注意，進階稽核與一般稽核共用時會造成稽核失敗的狀況，即你有設定，但不會生效。我個人的建議是，IT 的設定越單純化越好，只設定進階稽核即可。 如下圖 1. 所示，透過 rsop.msc (原則結果組) 可以發現，有設定一般的稽核原則，但是如果同時也設定了進階稽核原則，就會看到如下圖 2. 的結果，明明圖1. 的一般稽核的圖示有亮起來，但是圖 2. 卻寫上沒有稽核，實際上測試時，也會發生並無生效。 圖1. 圖2.                                                 圖3. 如果不幸發生上述問題，其實解決方法也很簡單，如下： (1) 將 \\<dc>\SYSVOL\<your domain name>\  目錄下的所有 audit.csv 刪除 (2) 將 GPO 中的進階稽核原則設定移除即可 (3) 重新套用 gpupdate /force   如果考慮使用進階稽核的朋友，可參考下述說明 在使用進階稽核原則時，務必開啟 [本機原則\安全性選項] 底下的 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新版本) 啟用以覆寫稽核原則類別設定] 原則設定。 設定完成後，在 Local Security Policy 的管理介面中，可能看不到進階稽核原則的套用狀況，建議使用 auditpol.exe /get /category:* 來查詢生效的狀況。 最後，如果之前本機安全性原則有設定進階稽核原則，取消後造成 domain GPO 設定套用有問題時，可將原來的稽核設定清除，再重套用 GPO 即可。 1、auditpol.exe /clear 2、gpupdate /force   參考文獻： http://technet.microsoft.com/zh-tw/library/ff182311(v=ws.10).aspx

不知道大家是否有和我一樣的錯誤經驗。 狀況說明：  設定檔案稽核之後，為何於安全性的事件中，依然無法查詢出檔案系統的稽核?? 解決方式： (1)  設定安全性原則 (這是比較容易乎略的部份)                       如果沒加入 AD 設定 “本機安全性原則設定” ，而 加入 AD  的話於 GPO 中設定即可          這方面可參考我之前寫的文章          http://joseph.miniasp.com/post/2011/03/28/本機稽核.aspx          http://joseph.miniasp.com/post/2011/03/28/網域稽核.aspx          另外，和我的文章不同的是，是設定稽核物件存取，如下圖：          (2)  設定檔案稽核         這個步驟相信大家已經熟悉。比較建議的是使用群組為單位進行稽核，如此在設定與管理上會較為方便。 (3)  檢查事件檢視器會發現類別是 “檔案系統” 的相關事件。另外還有我建立的檔案名稱。       

上一篇「本機稽核」中，說明了一些基本的設定方式。而本篇，將本機延伸至網域，做更大範圍的稽核。但我們要知道，這觀念是大同小異的。 首先，在DC上，要注意本機稽核是無法使用的，它已經整合至網域稽核中了。打開Group Policy Management後，會發現和本機稽核一樣的設定，如下圖： 有沒有很熟悉，Audit Policy和Advanced Audit Policy Configuration其實都是由本機安全性設定移轉過來，而右邊panel的Audit logon events，則是上一篇所敘述的設定。 稽核的事件，也將統一存放至DC的事件檢視器中。

今天研究的本機稽核設定，在此分享給大家。 首先，是本機稽核，有使用過AD 的朋友一定不陌生Group Policy Mangement，在本機設定時，是使用 Local Security Policy，啟動稽核原則。在檢視部份，和網域機稽核一樣，是使用event viewer的工具進行的。設定如下： 1、按開啟→系統管理工具→本機安全性原則      2、在左邊的panel中點選Local Policies →Audit Policy ；接著在右邊的panel中，點選Audit logon events。(在此範例中是針對失敗的登入進行稽核)      3、接著我們先核意登入失敗，然後再打開event logs檢查，果然發現了event id=4625的稽核。      4、打開內容後，我們可以檢查一些詳細資訊，比方說，是使用什麼帳號登入錯誤，在什麼時間，使用什麼ip位址……等。      5、皆著我們重複2~4步驟，但這次，我們使用比較進階的稽核原則。(ex: 此範例是使用帳戶管理。如下：      (1)按下圖點選至正確位置           (2)按下 ctrl + alt + delete，點選修改密碼，接著我們刻意讓修改密碼失敗。打開event viewer，即可發現稽核事件。           (3)一樣在此可以檢查錯誤的詳細資訊。        稽核方式千變萬化，端看SA是想要知道什麼樣的訊息，或者是利用稽核來做安全性控管、釣魚……等等。