by Joseph Wu
20. September 2012 11:18
在 Windows Server 2008 R2 的稽核功能中,新增了「進階稽核」,此功能將原來的稽核功能劃分的更細,舉例而言,以前如果要針對某個資料夾進行檔案稽核時,必須開啟稽核物件存取的原則,相信使用過這個原則的 IT 人都知道,如此會造成 event logs 爆炸性的成長,事際上我們只需要稽核檔案的存取而已。終於,在 2008 R2 的版本中,我們看到了改善。
使用進階稽核之前,必須要注意,進階稽核與一般稽核共用時會造成稽核失敗的狀況,即你有設定,但不會生效。我個人的建議是,IT 的設定越單純化越好,只設定進階稽核即可。
如下圖 1. 所示,透過 rsop.msc (原則結果組) 可以發現,有設定一般的稽核原則,但是如果同時也設定了進階稽核原則,就會看到如下圖 2. 的結果,明明圖1. 的一般稽核的圖示有亮起來,但是圖 2. 卻寫上沒有稽核,實際上測試時,也會發生並無生效。
圖1.
圖2.
圖3.
如果不幸發生上述問題,其實解決方法也很簡單,如下:
(1) 將 \\<dc>\SYSVOL\<your domain name>\ 目錄下的所有 audit.csv 刪除
(2) 將 GPO 中的進階稽核原則設定移除即可
(3) 重新套用 gpupdate /force
如果考慮使用進階稽核的朋友,可參考下述說明
在使用進階稽核原則時,務必開啟 [本機原則\安全性選項] 底下的 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新版本) 啟用以覆寫稽核原則類別設定] 原則設定。
設定完成後,在 Local Security Policy 的管理介面中,可能看不到進階稽核原則的套用狀況,建議使用 auditpol.exe /get /category:* 來查詢生效的狀況。
最後,如果之前本機安全性原則有設定進階稽核原則,取消後造成 domain GPO 設定套用有問題時,可將原來的稽核設定清除,再重套用 GPO 即可。
1、auditpol.exe /clear
2、gpupdate /force
參考文獻:
http://technet.microsoft.com/zh-tw/library/ff182311(v=ws.10).aspx
by Joseph Wu
2. August 2011 17:57
不知道大家是否有和我一樣的錯誤經驗。
狀況說明: 設定檔案稽核之後,為何於安全性的事件中,依然無法查詢出檔案系統的稽核??
解決方式:
(1) 設定安全性原則 (這是比較容易乎略的部份)
如果沒加入 AD 設定 “本機安全性原則設定” ,而 加入 AD 的話於 GPO 中設定即可
這方面可參考我之前寫的文章 http://joseph.miniasp.com/post/2011/03/28/本機稽核.aspx
http://joseph.miniasp.com/post/2011/03/28/網域稽核.aspx
另外,和我的文章不同的是,是設定稽核物件存取,如下圖:
(2) 設定檔案稽核
這個步驟相信大家已經熟悉。比較建議的是使用群組為單位進行稽核,如此在設定與管理上會較為方便。
(3) 檢查事件檢視器會發現類別是 “檔案系統” 的相關事件。另外還有我建立的檔案名稱。
by Joseph Wu
28. March 2011 00:47
上一篇「本機稽核」中,說明了一些基本的設定方式。而本篇,將本機延伸至網域,做更大範圍的稽核。但我們要知道,這觀念是大同小異的。
首先,在DC上,要注意本機稽核是無法使用的,它已經整合至網域稽核中了。打開Group Policy Management後,會發現和本機稽核一樣的設定,如下圖:
有沒有很熟悉,Audit Policy和Advanced Audit Policy Configuration其實都是由本機安全性設定移轉過來,而右邊panel的Audit logon events,則是上一篇所敘述的設定。
稽核的事件,也將統一存放至DC的事件檢視器中。
by Joseph Wu
28. March 2011 00:00
今天研究的本機稽核設定,在此分享給大家。
首先,是本機稽核,有使用過AD 的朋友一定不陌生Group Policy Mangement,在本機設定時,是使用 Local Security Policy,啟動稽核原則。在檢視部份,和網域機稽核一樣,是使用event viewer的工具進行的。設定如下:
1、按開啟→系統管理工具→本機安全性原則
2、在左邊的panel中點選Local Policies →Audit Policy ;接著在右邊的panel中,點選Audit logon events。(在此範例中是針對失敗的登入進行稽核)
3、接著我們先核意登入失敗,然後再打開event logs檢查,果然發現了event id=4625的稽核。
4、打開內容後,我們可以檢查一些詳細資訊,比方說,是使用什麼帳號登入錯誤,在什麼時間,使用什麼ip位址……等。
5、皆著我們重複2~4步驟,但這次,我們使用比較進階的稽核原則。(ex: 此範例是使用帳戶管理。如下:
(1)按下圖點選至正確位置
(2)按下 ctrl + alt + delete,點選修改密碼,接著我們刻意讓修改密碼失敗。打開event viewer,即可發現稽核事件。
(3)一樣在此可以檢查錯誤的詳細資訊。
稽核方式千變萬化,端看SA是想要知道什麼樣的訊息,或者是利用稽核來做安全性控管、釣魚……等等。