主页 / server / 问题 / 1011434
Accepted
user568733
Asked: 2020-04-09 04:57:42 +0800 CST

应用后立即删除 Windows Server 2019 审核

  • 772

我有一个带有 GPO 的 Windows Server 2019 域控制器,用于对登录事件进行审核。RSOP 显示它已应用,但是,如果我查看事件日志,应用它的那一刻我可以看到它已被 SYSTEM 删除。为什么会这样?如何强制对此事件进行审核?

group-policy security audit windows-server-2019

1 个回答

  1. Best Answer

    我在这个问题中找到了答案,但链接已失效,为了将来的用户,我将发布我找到的答案。

    所以前几天我发现了一个有趣的案例。

    域控制器策略中的审核策略设置如下,并且没有其他策略阻止或更改这些策略。

    ---审计目录服务访问成功GPO结果图

    策略更新后,记录了以下事件:

    ---审核成功删除事件摘要的图像

    此外, auditpol /get /category:* 只会在策略更新后显示没有审计:

    --- 显示没有审核的 cmd 提示的图像

    那么,这个疯狂的东西在哪里被覆盖了?它不在政策中,因为我们仔细检查了所有这些政策是否有继承等。

    查看客户端实际存储审计策略的位置可能会给我们一个线索(C:\Windows\system32\grouppolicy\machine\microsoft\windows nt\audit\audit.csv 和 C:\Windows\security)

    但是那里没有什么有趣的东西。所以,最后要看的地方是 sysvol 数据:

    M:\SYSVOL\domain\Policies{CEF3323C-FD89-4C03-9410-18F7A4922E5A}\Machine\microsoft\windows nt\Audit

    啊哈!下面是带有标题的 .CSV 文件 - 但其中没有配置数据!

    --csv 文件的图像

    我们删除了这个文件,现在审计策略正确地流向了 DC,并且生成了审计事件。

    奇怪的。事实证明,他们已经通过 GPOBackup 应用了这些策略,并且可能在备份之前发生了一些事情。

    无论如何-希望有一天它可以帮助某人

    作者:史蒂夫·帕特里克(口水)

    这是文章存档的链接

    谢谢史蒂夫,9 年后它帮助了我。

    • 0

相关问题