- Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)
- Справочники
- Возможные значения
- Рекомендации
- Местонахождение
- Значения по умолчанию
- Управление политикой
- Необходимость перезапуска
- Групповая политика
- Аудит
- Средства командной строки
- Вопросы безопасности
- Уязвимость
- Противодействие
- Потенциальные последствия
- Этот параметр может не применяться если другая политика переопределяет параметры политики аудита
- Лучший отвечающий
- Вопрос
- Ответы
- Параметры аудита безопасности не применяются к компьютерам на Windows Vista и Window Server 2008 при развертывании политики на основе домена
- Симптомы
- Причина
- Разрешение 1. Отключить параметр политики с помощью редактора объектов групповой политики
- Разрешение 2. Отключить параметр политики с помощью редактора реестра
- Дополнительные сведения
- Этот параметр может не применяться если другая политика переопределяет параметры политики аудита
- Question
- Answers
- Этот параметр может не применяться если другая политика переопределяет параметры политики аудита
- Лучший отвечающий
- Вопрос
- Ответы
Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)
Область применения
Описывает лучшие практики, расположение, значения и соображения безопасности для подкатегории аудита Audit: Force audit policy subcategory settings (Windows Vista или более поздней) для переопределения параметров политики политики безопасности политики аудита.
Справочники
Вы можете более точно управлять политикой аудита с помощью подкатегорий политики аудита.
Существует более 40 подкатегорий аудита, которые предоставляют точные сведения о действиях на устройстве. Сведения об этих подкатегориях см. в дополнительных параметрах политики аудита безопасности.
Возможные значения
Рекомендации
Местонахождение
Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options
Значения по умолчанию
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Параметры по умолчанию для автономного сервера | Включено |
| Dc Effective Default Параметры | Включено |
| Действующие параметры по умолчанию для рядового сервера | Включено |
| Действующие параметры по умолчанию для клиентского компьютера | Включено |
Управление политикой
В этом разделе описываются функции и средства, доступные для управления этой политикой.
Необходимость перезапуска
Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику.
Групповая политика
Все возможности аудита интегрированы в групповую политику. Вы можете настроить, развернуть и управлять этими настройками в консоли управления групповой политикой (GPMC) или локальной политике безопасности для домена, сайта или организационного подразделения (OU).
Аудит
Чтобы управлять политикой аудита с помощью подкатегорий, не требуя изменения групповой политики, значение реестра SCENoApplyLegacyAuditPolicy предотвращает применение политики аудита на уровне категорий из групповой политики и из административного средства местной политики безопасности.
Если заданной здесь политики аудита уровня категорий не соответствуют событиям, которые создаются в настоящее время, причина может быть в том, что этот ключ реестра заданной.
Средства командной строки
Вы можете использовать auditpol.exe для отображения и управления политиками аудита из командной подсказки.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
До введения подкатегорий аудита в Windows Vista было трудно отслеживать события на уровне системы или пользователя. Более крупные категории событий создали слишком много событий, а ключевые сведения, которые необходимо было проверять, трудно найти.
Противодействие
Включить подкатегории политики аудита при необходимости для отслеживания определенных событий.
Потенциальные последствия
При попытке изменить параметр аудита с помощью групповой политики после включения этого параметра с помощью средств командной строки параметр аудита групповой политики игнорируется в пользу настраиваемого параметра политики. Чтобы изменить параметры аудита с помощью групповой политики, необходимо сначала отключить клавишу SCENoApplyLegacyAuditPolicy.
Важно: Будьте очень осторожны с настройками аудита, которые могут генерировать большой объем трафика. Например, если включить аудит успешности или сбоя для всех подкатегорий Privilege Use, большой объем созданных событий аудита может затруднить поиск других типов записей в журнале событий безопасности. Такая конфигурация также может существенно повлиять на производительность системы.
Этот параметр может не применяться если другая политика переопределяет параметры политики аудита
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Ответы
Я рад, что помогло. Предлагаю этот пост пометить в качестве ответа, распишу тут все.
В данном случае, авторы этого расширения (да и всей этой группы функциональности) сделали некоторый черный ящик, который сбивается, как минимум:
2) Если файл имеет неправильную структуру по его представлением. Наблюдал такое при миксе английской GPO и русской локальной политики (когда каким-то образом в audit.csv попало 4 английских строчки и 1 русская).
И, в довершение, расширенный аудит в реестре хранится в виде байтового массива, который умеет читать только auditpol, поэтому если есть сложности с применением политики, их выявление затруднено. Причем, если я не ошибаюсь, проверка действующей политики идет по C:\Windows\Security\audit\audit.csv, а не по фактической политике.
Каждый объект групповой политики имеет перечень расширений, которые записаны в gPCMachineExtensionNames. Соответственно, при обработке объекта расширения вызываются локально, причем оптом для всех объектов (как минимум, данное). В этом случае, то расширение, которое обрабатывает расширенную политику аудита, не находило audit.csv для доменной дефолтной политики и молча отрубалось.
Поэтому вот финальный чеклист для тех, у кого наблюдаются проблемы с применением расширенной политики аудита:
2. Запустить gpupdate /force, посмотреть лог после выполнения.
6. Не забываем не мешать базовый аудит с расширенным и использовать свойство «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)»
Уф. всё! Считаю проблему решенной и закрытой.
Параметры аудита безопасности не применяются к компьютерам на Windows Vista и Window Server 2008 при развертывании политики на основе домена
В этой статье помогают решить проблему, при которой параметры аудита безопасности не применяются к клиентские компьютеры в домене Active Directory при развертывании политики на основе домена.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 921468
Симптомы
Рассмотрим следующий сценарий. Развертывание политики на основе домена для настройки параметров аудита безопасности на Windows компьютерах на основе Vista или Windows Server 2008 в домене службы каталогов Active Directory. Вы запустите средство Resultant Set of Policy (RSoP) на одном из компьютеров на Windows Vista или Windows Server 2008. При этом средство RSoP указывает, что политика применяется. Однако на самом деле политика не применяется к одному или Windows компьютерам на основе Vista или Windows Server 2008.
Причина
Эта проблема возникает, если параметры политики аудита force (Windows Vista или более поздние) для переопределения параметров категорий политик аудита включены в Windows Vista или в Windows Server 2008. Параметр политики можно включить с помощью групповой политики или включить вручную путем изменения реестра.
Чтобы устранить эту проблему, используйте один из следующих методов, соответствующих вашей ситуации.
Разрешение 1. Отключить параметр политики с помощью редактора объектов групповой политики
Убедитесь, что параметр политики включен с помощью групповой политики, а затем отключить параметр политики с помощью редактора объектов групповой политики. Для этого выполните следующие действия:
Убедитесь, что параметры подкатегории политики аудита силы (Windows Vista или более поздней) для переопределения параметров категорий политики аудита» были включены с помощью групповой политики. Для этого выполните следующие действия:
Отключить параметры подкатегории политики аудита принудительного аудита (Windows Vista или более поздней) для переопределения параметров категорий политик аудита» в GPO. Для этого выполните следующие действия:
Перезапустите компьютер или компьютер.
Разрешение 2. Отключить параметр политики с помощью редактора реестра
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.
Чтобы вручную отключить параметр политики с помощью редактора реестра, выполните следующие действия:
Если политика является политикой на основе домена и не является локальной, может потребоваться дождаться завершения репликации Active Directory и репликации SYSVOL до того, как параметры политики вступает в силу на компьютерах.
Дополнительные сведения
Windows Vista и более поздние версии Windows позволяют более точно управлять политиками аудита с помощью подкатегорий политики аудита. При настройке политик аудита на уровне категорий переопределяются подкатегории политики аудита.
Если вы хотите управлять политиками аудита с помощью подкатегорий политики аудита и не хотите использовать групповую политику, можно настроить запись реестра SCENoApplyLegacyAuditPolicy. При настройке записи реестра SCENoApplyLegacyAuditPolicy вы предотвращаете применение политик аудита на уровне категорий, настроенных с помощью групповой политики или средства местной политики безопасности.
Однако следует помнить, что параметр политики может не применяться, если другая политика настроена для переопределения политики аудита на уровне категорий.
Этот параметр может не применяться если другая политика переопределяет параметры политики аудита
Question
Answers
Я рад, что помогло. Предлагаю этот пост пометить в качестве ответа, распишу тут все.
В данном случае, авторы этого расширения (да и всей этой группы функциональности) сделали некоторый черный ящик, который сбивается, как минимум:
2) Если файл имеет неправильную структуру по его представлением. Наблюдал такое при миксе английской GPO и русской локальной политики (когда каким-то образом в audit.csv попало 4 английских строчки и 1 русская).
И, в довершение, расширенный аудит в реестре хранится в виде байтового массива, который умеет читать только auditpol, поэтому если есть сложности с применением политики, их выявление затруднено. Причем, если я не ошибаюсь, проверка действующей политики идет по C:\Windows\Security\audit\audit.csv, а не по фактической политике.
Каждый объект групповой политики имеет перечень расширений, которые записаны в gPCMachineExtensionNames. Соответственно, при обработке объекта расширения вызываются локально, причем оптом для всех объектов (как минимум, данное). В этом случае, то расширение, которое обрабатывает расширенную политику аудита, не находило audit.csv для доменной дефолтной политики и молча отрубалось.
Поэтому вот финальный чеклист для тех, у кого наблюдаются проблемы с применением расширенной политики аудита:
2. Запустить gpupdate /force, посмотреть лог после выполнения.
6. Не забываем не мешать базовый аудит с расширенным и использовать свойство «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)»
Уф. всё! Считаю проблему решенной и закрытой.
Этот параметр может не применяться если другая политика переопределяет параметры политики аудита
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Ответы
Я рад, что помогло. Предлагаю этот пост пометить в качестве ответа, распишу тут все.
В данном случае, авторы этого расширения (да и всей этой группы функциональности) сделали некоторый черный ящик, который сбивается, как минимум:
2) Если файл имеет неправильную структуру по его представлением. Наблюдал такое при миксе английской GPO и русской локальной политики (когда каким-то образом в audit.csv попало 4 английских строчки и 1 русская).
И, в довершение, расширенный аудит в реестре хранится в виде байтового массива, который умеет читать только auditpol, поэтому если есть сложности с применением политики, их выявление затруднено. Причем, если я не ошибаюсь, проверка действующей политики идет по C:\Windows\Security\audit\audit.csv, а не по фактической политике.
Каждый объект групповой политики имеет перечень расширений, которые записаны в gPCMachineExtensionNames. Соответственно, при обработке объекта расширения вызываются локально, причем оптом для всех объектов (как минимум, данное). В этом случае, то расширение, которое обрабатывает расширенную политику аудита, не находило audit.csv для доменной дефолтной политики и молча отрубалось.
Поэтому вот финальный чеклист для тех, у кого наблюдаются проблемы с применением расширенной политики аудита:
2. Запустить gpupdate /force, посмотреть лог после выполнения.
6. Не забываем не мешать базовый аудит с расширенным и использовать свойство «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)»
Уф. всё! Считаю проблему решенной и закрытой.
