域控制器的高级审核策略的手动配置

 

对于Windows 2008 R2及以上的域控制器,还必须在默认的域控制器策略中配置以下高级审核策略:

  • 审核登录事件: 选择 帐户登录 → 配置'Kerberos身份验证服务 (成功 及 失败)。

  • 要审核用户、组、计算机: 选择 帐户管理 → 配置'计算机帐户管理' (成功), '通讯组管理' (成功), '安全组管理' (成功), '用户帐户管理' (成功 及 失败)。

  • 要审核追踪进程: 选择 详细追踪 → 配置'进程创建' (成功), '进程终止' (成功)。

  • 审核 GPO, OU, 配置, 架构, 联系人, 容器, 站点: 选择 DS访问 → 配置 '目录服务更改' (成功), '目录服务访问'(成功)。

  • 审核登录/注销: 选择 登录/注销 → 配置 '审核登录' (成功 及 失败), '审核注销' (成功), '审核网络策略服务器 (成功 及 失败), '审核其它登录/注销事件 (成功)。

  • 审核计划任务: 选择 对象访问 → 配置'审核其它对象访问事件 (成功)。

  • 审核本地策略变更: 选择 策略更改 → 配置'审核身份验证策略更改' (成功), '授权策略更改' (成功)。

  • 审核系统事件: 选择 系统 → '审核安全状态更改' (成功)。

具体的步骤如下:

  1. 以Windows的管理员登录Windows 2008 R2 及以上的域控制器。

  2. 确保在其中安装了组策略snap-in工具。

  3. 打开 GPMC (组策略管理控制台) 。(Windows 2008R2 及以上的域控制器)

  4. 导航到 '默认域控制器策略' (Default Domain Controllers Policy)。

组策略管理控制台 -> 域控制器 -> Default Domain Controllers Policy

  1. 右击该'Default Domain Controllers Policy', 选择 '编辑',打开组策略管理编辑器。

  2. 在组策略管理编辑器中,导航到 '审核策略' 的节点。

计算机配置 -> 策略 -> Windows设置 -> 安全设置 -> 高级审核策略配置 -> 审核策略

  1. 然后在审核策略下面,按照上述 要审核的策略,配置相应的策略。

© 2017 卓豪(北京)技术有限公司,保留一切权利