为活动目录配置审核策略:
- 打开组策略管理控制台(GPMC)。
- 修改默认的域控策略
- 需要的配置
- 高级审核策略(适用于Windows2008以及更高版本的操作系统) : 安全设置|Windows设置|安全设置|高级审核策略配置|审核策略
- 审核策略(适用于Windows2003以及更低版本的操作系统):计算机配置|Windows设置|安全设置|本地策略|审核策略
- 高级审核策略 需要的活动目录(推荐Windows2008以及更高版本的域控制器)
- 审计登录事件:选择账户登录 -> 审核Audit 'Kerberos身份验证服务' (成功和失败).
- 审核用户,组,计算机:选择账户管理 -> 审核计算机账户管理(成功),审核通讯组管理(成功),审核安全组管理(成功),审核用户账户管理(成功和失败)。
- 审核跟踪过程:选择详细跟踪 -> 审核进程创建(成功),审核进程终止(成功)
- 审核GPO,OU,配置,架构,联系人,容器,站点,DNS:选择DS访问 -> 审核目录服务更改(成功),审核目录服务访问(成功)
- 审核登录/注销:选择登录/注销:选择登录/注销 -> 审核登录(成功和失败),审核注销(成功),审核网络策略服务器(成功和失败),审核其他登录/注销事件(成功),审核其他登录/注销事件(成功)。
- 审计计划任务:选择对象访问 -> 审核其他对象访问事件(成功)。
- 审核本地策略变更:选择策略更改 -> 审核身份验证策略更改(成功),审核授权策略更改(成功)。
- 审核系统事件:选择系统 -> 审核安全状态变更(成功)。
- 审核策略需要的活动目录(推荐Windows2003以及更低版本域控制器)
- 审核账户登录:审核账户登录事件(成功,失败)
- 审核登录/注销:审核登录事件(成功,失败)
- 审核用户,组,计算机:审核账户管理(成功,失败)
- 审核GPO,OU,配置,架构,联系人,容器,站点,DNS:审核目录服务访问(成功)
- 审核跟踪过程:审核过程跟踪(成功)
- 审核计划任务:配置对象访问(成功)
- 配置本地策略变更:审核策略更改(成功)
- 审核系统事件:审核系统事件(成功)
- 强制高级审核策略
- 启用强制审核策略子类别设置。您可以在如下位置找到此设置:计算机配置|Windows设置|安全设置|本地策略|安全选项|审核:强制审核策略子类别设置(Windows Vista或更高版本)替代审核策略类别设置。
