稽核原則 v.s. 進階稽核原則

by Joseph Wu 20. September 2012 11:18

在 Windows Server 2008 R2  的稽核功能中,新增了「進階稽核」,此功能將原來的稽核功能劃分的更細,舉例而言,以前如果要針對某個資料夾進行檔案稽核時,必須開啟稽核物件存取的原則,相信使用過這個原則的 IT 人都知道,如此會造成 event logs 爆炸性的成長,事際上我們只需要稽核檔案的存取而已。終於,在 2008 R2 的版本中,我們看到了改善。

使用進階稽核之前,必須要注意,進階稽核與一般稽核共用時會造成稽核失敗的狀況,即你有設定,但不會生效。我個人的建議是,IT 的設定越單純化越好,只設定進階稽核即可。

如下圖 1. 所示,透過 rsop.msc (原則結果組) 可以發現,有設定一般的稽核原則,但是如果同時也設定了進階稽核原則,就會看到如下圖 2. 的結果,明明圖1. 的一般稽核的圖示有亮起來,但是圖 2. 卻寫上沒有稽核,實際上測試時,也會發生並無生效。

2012-09-19_193246

圖1.

2012-09-19_193259

圖2.

2012-09-19_193304

                                                圖3.

如果不幸發生上述問題,其實解決方法也很簡單,如下:

(1) 將 \\<dc>\SYSVOL\<your domain name>\  目錄下的所有 audit.csv 刪除

(2) 將 GPO 中的進階稽核原則設定移除即可

(3) 重新套用 gpupdate /force

 

如果考慮使用進階稽核的朋友,可參考下述說明

在使用進階稽核原則時,務必開啟 [本機原則\安全性選項] 底下的 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新版本) 啟用以覆寫稽核原則類別設定] 原則設定。

設定完成後,在 Local Security Policy 的管理介面中,可能看不到進階稽核原則的套用狀況,建議使用 auditpol.exe /get /category:* 來查詢生效的狀況。

最後,如果之前本機安全性原則有設定進階稽核原則,取消後造成 domain GPO 設定套用有問題時,可將原來的稽核設定清除,再重套用 GPO 即可。

1、auditpol.exe /clear

2、gpupdate /force

 

參考文獻:

http://technet.microsoft.com/zh-tw/library/ff182311(v=ws.10).aspx

Tags:

Windows Server

Comments are closed

關於我們

這裡是由一群熟悉 Microsoft IT 技術的工程師所共同分享技術文章的部落格,除了定期分享工作上的技術經驗,我們也提供專業的技術顧問諮詢服務,有任何疑難雜症都歡迎與我們聯絡!

  • 陳冠龍(Owen)
  • 02-2322-2480 # 33
  • 陳昌賢(Mars)
  • 02-2322-2480 # 16
  • 有任何的建議或問題,請來信 ithelp-azure@miniasp.com

※ 學習資源:
    2016/3/9 - 你所不知道的 Microsoft Azure 雲端採購技巧
    (講者:多奇數位技術總監 - Will 保哥)

最新消息

企業上雲端會是未來趨勢

微軟主打 2 種公有雲平台

Office 365 & Azure

有興趣皆可來電 or E-Mail 詢問

Calendar

<<  September 2019  >>
MoTuWeThFrSaSu
2627282930311
2345678
9101112131415
16171819202122
23242526272829
30123456

View posts in large calendar