实施要求:
1、开启本地策略->审核策略下的所有策略(成功和失败),如图:
2、开启审核筛选平台连接,如图:(这是一个雷,后面正文中会提到)
总结:此次实施需要接入上百台WindowsServer服务器审核日志,没有域,所以只能一台台手动配置,为增加工作效率,从而使用批处理命令完成操作。
步骤详情:
1、 使用secedit命令进行策略设置
secedit语法参考:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/secedit
echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=3 >>1.inf
echo AuditObjectAccess=3 >>1.inf
echo AuditPrivilegeUse=3 >>1.inf
echo AuditPolicyChange=3 >>1.inf
echo AuditAccountManage=3 >>1.inf
echo AuditProcessTracking=3 >>1.inf
echo AuditDSAccess=3 >>1.inf
echo AuditAccountLogon=3 >>1.inf
echo AuditLogonEvents=3 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*
执行方法:将上述命令复制黏贴到txt文本中,修改文件后缀名为.bat,以管理员身份运行(此处必须使用管理员身份运行)
注释:上述命令中参数值为3,表示审核成功和失败。参数值为0时,表示无审核。
这个命令执行完成后,将在当前目录产生一个1.sdb,它是“中间产品”,你可以删除它。
/quiet参数表示“安静模式”,不产生日志。但也有可能会产生日志。最后del 1.*表示删除名称为“1”的所有文件(也就是执行上述命令式产生的文件)。
正文开始
刚才就是全部的正式内容了,下面为大家讲讲我整个过程中遇到的问题以及解决方法。(其实个人认为这才是真正有用的内容,经验难得)
Model1:
刚拿到需求的时候我是想先在一台服务器上配置好审核策略,然后使用secedit命令导出配置好的策略,然后导入其他服务器。
问题1:服务器太多,业务不同。贸然导入策略有可能会影响业务
问题2:secedit命令只能导入导出本地策略,不能对高级审核策略生效
故此方法放弃。
Model2:
使用命令行配置需要更改的策略。secedit命令操作本地策略,auditpol操作高级审核策略。
auditpol语法参考:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/auditpol
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
AuditPol /set /subcategory:"筛选平台连接" /failure:enable /success:enable
问题1:命令中的中文字符在批处理命令运行时显示乱码,无法执行(单独执行时则成功)
解决:使用*auditpol /list /subcategory: /r命令查看对象访问和筛选平台连接的sid**。
auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable
此时问题又来了,执行完上述命令后居然提示参数不对???此时心中一万只草泥马飞过,查边论坛无果,命令也是从从微软官方示例复制过来的,现在我只怀疑这是玄学问题,不过小伙伴们可以试一下,万一呢?
问题2:不多数,直接上图
提示命令成功,执行gpupdate /force命令更新策略,打开审核筛选平台连接后显示“未配置”,这可能又是一个玄学问题吧!
解决:命令行输入secpol.msc,打开配置窗口,手动点击审核筛选平台连接进行配置。(兜兜转转最后还是得手动勾选)
这是一个雷
当我做到这一步时,我几近崩溃。原因容我娓娓道来,当我使用批处理命令配置完审核策略后,手动配置了审核筛选平台连接。命令行输入gpupdate /force更新策略,我以为大功告成了,可是发生了这一幕:
我擦了擦眼,我没看花眼,你们也没看花眼。之前配置无误的审核策略全都变成了“无审核”。一遍逛论坛一边自行尝试,最终发现问题所在:
设置高级审核策略后,会覆盖本地策略
在高级策略中我只设置了筛选平台连接,其他未设置,所以最终被覆盖为未审核。
解决方法1:手动将高级策略中的全部选项勾选,这样即便本地策略被覆盖,依然会得到更详细的日志。
解决方法2:不设置高级策略。