Problem
Ich versuche, ein Gruppenrichtlinienobjekt mit erweiterten Sicherheitsüberwachungsrichtlinienkonfigurationen auf einen Windows 7-Client anzuwenden, aber die Einstellung wird nicht angewendet.
Ich habe meine Arbeit mit diesem Artikel - http://technet.microsoft.com/de-de/library/dd408940(v=ws.10).aspx - nochmals geprüft
Ich habe die Überwachung: Erzwingen von Überwachungsrichtlinien-Unterkategorieeinstellungen (Windows Vista oder höher) zum Überschreiben von Überwachungsrichtlinienkategorieeinstellungen aktiviert
Beim Ausführen von auditpol.exe / get / category: * Ich sehe, dass nur die erweiterten erweiterten Überwachungseinstellungen angewendet werden, nicht die Einstellungen, die ich im neuen Gruppenrichtlinienobjekt festgelegt habe. Ich weiß, dass das GPO selbst auf den Computer angewendet wird, da andere Einstellungen im GPO vorhanden sind und RSOP zeigt, dass das GPO erfolgreich angewendet wurde.
Wir haben ein höheres Gruppenrichtlinienobjekt in der OU-Struktur, das einige erweiterte Überwachungseinstellungen anwendet. Ich dachte, dass es aus irgendeinem Grund Interferenzen oder Überschreibungen zur Folge hatte, die aber auch nicht in auditpol.exe / get / category angezeigt werden: *. Ich habe eine auditpol.exe / clear durchgeführt, die die Richtlinie löscht
| |
Nach auditpol.exe / löschen
|
Kategorie / Unterkategorie einstellen
System
Sicherheitssystemerweiterung Keine Überwachung
Systemintegrität Keine Prüfung
IPsec-Treiber keine Überwachung
Andere Systemereignisse Keine Überwachung
Sicherheitsstatusänderung Keine Überwachung
An- / Abmeldung
Anmeldung keine Überwachung
Abmelden Keine Überwachung
Kontosperrung Keine Überwachung
IPsec-Hauptmodus Keine Überwachung
IPsec-Schnellmodus Keine Überwachung
IPsec Extended Mode Keine Überwachung
Spezielle Anmeldung Keine Überwachung
Andere An- / Abmeldeereignisse Keine Überwachung
Netzwerkrichtlinienserver Keine Überwachung
Objektzugriff
Dateisystem Keine Überwachung
Registry keine Prüfung
Kernel-Objekt keine Prüfung
SAM Keine Überwachung
Zertifizierungsdienste Keine Prüfung
Anwendung generiert keine Überwachung
Handle Manipulation Keine Überwachung
Dateifreigabe keine Überwachung
Filterung des Plattformpakets Keine Überwachung
Filtern der Plattformverbindung Keine Überwachung
Andere Objektzugriffsereignisse Keine Überwachung
Detaillierte Dateifreigabe ohne Überwachung
Privilegnutzung
Vertrauliches Privileg Verwenden Sie keine Überwachung
Nicht sensible Berechtigungen verwenden keine Überwachung
Andere Verwendungsereignisse Keine Überwachung
Detaillierte Verfolgung
Prozessabbruch Keine Prüfung
DPAPI-Aktivität Keine Überwachung
RPC-Ereignisse Keine Überwachung
Prozesserstellung Keine Prüfung
Richtlinienänderung
Prüfrichtlinienänderung Keine Prüfung
Änderung der Authentifizierungsrichtlinie Keine Überwachung
Berechtigungsrichtlinienänderung Keine Überwachung
Richtlinienänderung auf Regelebene auf MPSSVC Keine Überwachung
Filterung der Plattformrichtlinienänderung Keine Überwachung
Andere Richtlinienänderungsereignisse Keine Überwachung
Kontoführung
Benutzerkontenverwaltung Keine Überwachung
Computerkontenverwaltung Keine Prüfung
Sicherheitsgruppenverwaltung Keine Überwachung
Verteilergruppenverwaltung Keine Prüfung
Anwendungsgruppenverwaltung Keine Prüfung
Andere Kontoverwaltungsereignisse Keine Prüfung
DS-Zugriffsverzeichnisdienständerungen Keine Überwachung
Verzeichnisdienstreplikation Keine Überwachung
Detaillierte Verzeichnisdienstreplikation Keine Überwachung
Verzeichnisdienstzugriff Keine Überwachung
Kontoanmeldung
Kerberos-Dienstticketvorgänge Keine Überwachung
Andere Kontoanmeldungsereignisse Keine Überwachung
Kerberos-Authentifizierungsdienst Keine Überwachung
Prüfung der Berechtigungsnachweise Keine Prüfung
Ich habe dann ein gpupdate / force durchgeführt und neu gestartet, aber AuditPol zeigt immer noch "keine Überwachung" für alle Einstellungen.
Ich habe auch die Datei audit.csv gelöscht, die anscheinend die Einstellungen des Gruppenrichtlinienobjekts enthält, das in der Struktur höher ist (obwohl ich gelesen habe, dass es nur lokale Einstellungen enthält), aber nicht das neue Gruppenrichtlinienobjekt in C: \ Windows \ security \ audit und dann ein gpupdate / force durchgeführt. Nach dem Ausführen von gpupdate / force wurde die Datei wiederhergestellt und die Standardeinstellungen und erweiterten Überwachungseinstellungen des Gruppenrichtlinienobjekts in der Struktur der Organisationseinheit (nicht die neuen GPO-Einstellungen) angezeigt. Auditpol zeigte jedoch immer noch keine Überwachung für alle Einstellungen. Außerdem war das Änderungsdatum der audit.csv-Datei vor Monaten. Ich vermute also, es wird nur die informierte Person aus dem ursprünglichen Gruppenrichtlinienobjekt gezogen. Ich habe versucht, das neue GPO durchzusetzen und höher einzustufen, es gilt jedoch immer noch nicht.
Umgebung
Windows 7 SP1-Client und Windows 2008R2-DC
Jede Hilfe wird geschätzt.