by Joseph Wu
20. September 2012 11:18
在 Windows Server 2008 R2 的稽核功能中,新增了「進階稽核」,此功能將原來的稽核功能劃分的更細,舉例而言,以前如果要針對某個資料夾進行檔案稽核時,必須開啟稽核物件存取的原則,相信使用過這個原則的 IT 人都知道,如此會造成 event logs 爆炸性的成長,事際上我們只需要稽核檔案的存取而已。終於,在 2008 R2 的版本中,我們看到了改善。
使用進階稽核之前,必須要注意,進階稽核與一般稽核共用時會造成稽核失敗的狀況,即你有設定,但不會生效。我個人的建議是,IT 的設定越單純化越好,只設定進階稽核即可。
如下圖 1. 所示,透過 rsop.msc (原則結果組) 可以發現,有設定一般的稽核原則,但是如果同時也設定了進階稽核原則,就會看到如下圖 2. 的結果,明明圖1. 的一般稽核的圖示有亮起來,但是圖 2. 卻寫上沒有稽核,實際上測試時,也會發生並無生效。
圖1.
圖2.
圖3.
如果不幸發生上述問題,其實解決方法也很簡單,如下:
(1) 將 \\<dc>\SYSVOL\<your domain name>\ 目錄下的所有 audit.csv 刪除
(2) 將 GPO 中的進階稽核原則設定移除即可
(3) 重新套用 gpupdate /force
如果考慮使用進階稽核的朋友,可參考下述說明
在使用進階稽核原則時,務必開啟 [本機原則\安全性選項] 底下的 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新版本) 啟用以覆寫稽核原則類別設定] 原則設定。
設定完成後,在 Local Security Policy 的管理介面中,可能看不到進階稽核原則的套用狀況,建議使用 auditpol.exe /get /category:* 來查詢生效的狀況。
最後,如果之前本機安全性原則有設定進階稽核原則,取消後造成 domain GPO 設定套用有問題時,可將原來的稽核設定清除,再重套用 GPO 即可。
1、auditpol.exe /clear
2、gpupdate /force
參考文獻:
http://technet.microsoft.com/zh-tw/library/ff182311(v=ws.10).aspx
Subscribe