此问题与设置审核策略和设置高级审核策略的结果有关。问题不是配置AuditPolicies的最佳方法是什么,它明确地说明了在以下情况下(如Microsoft所建议的那样)进行配置时会发生什么情况。目标是评估审核策略设置,而不是更改或改进它们。
考虑以下情况:
- 将AuditPolicy的“审核帐户登录事件”设置为“成功”。
- AdvancedAuditpolicy“审核凭据验证”设置为“失败”
- 所有其他AdvancedAuditpolicy未设置
- 安全设置“强制审核策略子类别”设置为“ true”
结果可能是
a)
- 审核凭据验证:失败
- 审核Kerberos身份验证服务:成功
- 审核Kerberos服务票证操作:成功
- 审核Othre帐户登录事件:成功
或
b)
- 审核凭据验证:失败
- 审核Kerberos身份验证服务:未设置
- 审核Kerberos服务票证操作:未设置
- 审核Othre帐户登录事件:未设置
这里有一个有关互动的常见问题解答部分:https://docs.microsoft.com/en-US/windows/security/threat-protection/auditing/advanced-security-auditing-faq#bkmk-3 +
其中有两句话:
- “基本审核策略设置与使用组策略应用的高级审核策略设置不兼容。当使用组策略应用高级审核策略设置时,将在生成最终的高级审核策略之前清除当前计算机的审核策略设置设置已应用”。这将指示结果b)
和
- ”重要说明无论您是通过使用组策略还是通过登录脚本应用高级审核策略,请不要同时使用“本地策略\审核策略”下的基本审核策略设置和“安全设置\高级审核策略配置”下的高级设置。高级和基本审核策略设置都会导致审核报告中出现意外结果。”可能表明结果a)
两个陈述似乎互相矛盾。
我对任何指针都很高兴。
非常感谢您!