稽核原則 v.s. 進階稽核原則

by Joseph Wu 20. September 2012 11:18
在 Windows Server 2008 R2  的稽核功能中,新增了「進階稽核」,此功能將原來的稽核功能劃分的更細,舉例而言,以前如果要針對某個資料夾進行檔案稽核時,必須開啟稽核物件存取的原則,相信使用過這個原則的 IT 人都知道,如此會造成 event logs 爆炸性的成長,事際上我們只需要稽核檔案的存取而已。終於,在 2008 R2 的版本中,我們看到了改善。 使用進階稽核之前,必須要注意,進階稽核與一般稽核共用時會造成稽核失敗的狀況,即你有設定,但不會生效。我個人的建議是,IT 的設定越單純化越好,只設定進階稽核即可。 如下圖 1. 所示,透過 rsop.msc (原則結果組) 可以發現,有設定一般的稽核原則,但是如果同時也設定了進階稽核原則,就會看到如下圖 2. 的結果,明明圖1. 的一般稽核的圖示有亮起來,但是圖 2. 卻寫上沒有稽核,實際上測試時,也會發生並無生效。 圖1. 圖2.                                                 圖3. 如果不幸發生上述問題,其實解決方法也很簡單,如下: (1) 將 \\<dc>\SYSVOL\<your domain name>\  目錄下的所有 audit.csv 刪除 (2) 將 GPO 中的進階稽核原則設定移除即可 (3) 重新套用 gpupdate /force   如果考慮使用進階稽核的朋友,可參考下述說明 在使用進階稽核原則時,務必開啟 [本機原則\安全性選項] 底下的 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新版本) 啟用以覆寫稽核原則類別設定] 原則設定。 設定完成後,在 Local Security Policy 的管理介面中,可能看不到進階稽核原則的套用狀況,建議使用 auditpol.exe /get /category:* 來查詢生效的狀況。 最後,如果之前本機安全性原則有設定進階稽核原則,取消後造成 domain GPO 設定套用有問題時,可將原來的稽核設定清除,再重套用 GPO 即可。 1、auditpol.exe /clear 2、gpupdate /force   參考文獻: http://technet.microsoft.com/zh-tw/library/ff182311(v=ws.10).aspx

Tags:

Windows Server

檔案稽核

by Joseph Wu 2. August 2011 17:57
不知道大家是否有和我一樣的錯誤經驗。 狀況說明:  設定檔案稽核之後,為何於安全性的事件中,依然無法查詢出檔案系統的稽核?? 解決方式: (1)  設定安全性原則 (這是比較容易乎略的部份)                       如果沒加入 AD 設定 “本機安全性原則設定” ,而 加入 AD  的話於 GPO 中設定即可          這方面可參考我之前寫的文章          http://joseph.miniasp.com/post/2011/03/28/本機稽核.aspx          http://joseph.miniasp.com/post/2011/03/28/網域稽核.aspx          另外,和我的文章不同的是,是設定稽核物件存取,如下圖:          (2)  設定檔案稽核         這個步驟相信大家已經熟悉。比較建議的是使用群組為單位進行稽核,如此在設定與管理上會較為方便。 (3)  檢查事件檢視器會發現類別是 “檔案系統” 的相關事件。另外還有我建立的檔案名稱。       

Tags: , ,

Windows Server

網域稽核

by Joseph Wu 28. March 2011 00:47
上一篇「本機稽核」中,說明了一些基本的設定方式。而本篇,將本機延伸至網域,做更大範圍的稽核。但我們要知道,這觀念是大同小異的。 首先,在DC上,要注意本機稽核是無法使用的,它已經整合至網域稽核中了。打開Group Policy Management後,會發現和本機稽核一樣的設定,如下圖: 有沒有很熟悉,Audit Policy和Advanced Audit Policy Configuration其實都是由本機安全性設定移轉過來,而右邊panel的Audit logon events,則是上一篇所敘述的設定。 稽核的事件,也將統一存放至DC的事件檢視器中。

Tags: , ,

Windows Server

本機稽核

by Joseph Wu 28. March 2011 00:00
今天研究的本機稽核設定,在此分享給大家。 首先,是本機稽核,有使用過AD 的朋友一定不陌生Group Policy Mangement,在本機設定時,是使用 Local Security Policy,啟動稽核原則。在檢視部份,和網域機稽核一樣,是使用event viewer的工具進行的。設定如下: 1、按開啟→系統管理工具→本機安全性原則      2、在左邊的panel中點選Local Policies →Audit Policy ;接著在右邊的panel中,點選Audit logon events。(在此範例中是針對失敗的登入進行稽核)      3、接著我們先核意登入失敗,然後再打開event logs檢查,果然發現了event id=4625的稽核。      4、打開內容後,我們可以檢查一些詳細資訊,比方說,是使用什麼帳號登入錯誤,在什麼時間,使用什麼ip位址……等。      5、皆著我們重複2~4步驟,但這次,我們使用比較進階的稽核原則。(ex: 此範例是使用帳戶管理。如下:      (1)按下圖點選至正確位置           (2)按下 ctrl + alt + delete,點選修改密碼,接著我們刻意讓修改密碼失敗。打開event viewer,即可發現稽核事件。           (3)一樣在此可以檢查錯誤的詳細資訊。        稽核方式千變萬化,端看SA是想要知道什麼樣的訊息,或者是利用稽核來做安全性控管、釣魚……等等。

Tags: , ,

Windows Server

關於我們

這裡是由一群熟悉 Microsoft IT 技術的工程師所共同分享技術文章的部落格,除了定期分享工作上的技術經驗,我們也提供專業的技術顧問諮詢服務,有任何疑難雜症都歡迎與我們聯絡!

  • 陳冠龍(Owen)
  • 02-2322-2480 # 33
  • 陳昌賢(Mars)
  • 02-2322-2480 # 16
  • 有任何的建議或問題,請來信 ithelp-azure@miniasp.com

※ 學習資源:
    2016/3/9 - 你所不知道的 Microsoft Azure 雲端採購技巧
    (講者:多奇數位技術總監 - Will 保哥)

最新消息

企業上雲端會是未來趨勢

微軟主打 2 種公有雲平台

Office 365 & Azure

有興趣皆可來電 or E-Mail 詢問

Calendar

<<  December 2019  >>
MoTuWeThFrSaSu
2526272829301
2345678
9101112131415
16171819202122
23242526272829
303112345

View posts in large calendar