Отключаем расширенную политику аудита


Не так давно мне нужно было отловить некоторые хитрые события связанные с аутентификацией на домен-контроллерах. Для решения этой задачи пришлось включить с помощью групповых политик так называемый расширенный аудит, который появился в Windows Server 2008 R2 и Windows 7. Можно настроить 53 события аудита! Есть где разгуляться!

Эти события пишутся в отдельный журнал Microsoft-Windows-Audit; при этом журнал Security больше не пополняется новыми событиями аудита – прежняя система аудита отключается полностью.

Когда мое исследование было завершено, я выставил параметры расширенного аудита в групповой политике в «Not configured». К моему удивлению после применения политик к домен-контроллерам в журнал Security события аудита не начали поступать – классическая система аудита не включилась. Загадка!

В библиотеке Technet была найдена статья, которая ясно описывала шаги по отключению расширенного аудита:

1.Set all Advanced Audit Policy sub-categories to Not configured.

2.Delete all audit.csv files from the %SYSVOL% folder on the domain controller.

3.Reconfigure and apply the basic audit policy settings.

И так первый шаг мной уже сделан. Удалил файл audit.csv и обновил политики на домен-контроллерах. Не помогло!

Поискал файл audit.csv локально на домен-контроллере и нашел в двух местах C:\Windows\System32\GroupPolicy\ и C:\Windows\security\audit. Обновил политики – не помогло. Чудеса!

Ключевым оказалось слово Reconfigure из третьего пункта: каждую настройку классического аудита в групповой политике надо выключить, сохранить, включить заново и опять сохранить. Затем применить обновленную политику. (Может достаточно передернуть одну настройку аудита, чтобы раздел GPO обновился и применился?)

Сразу после этого в журнал Security на домен-контроллерах полетели события.

Не зря сказано: слово из песни не выбросишь!

Полезные ссылки:

1. Advanced Security Audit Policy Step-by-Step Guide

2. Advanced Security Auditing in Windows 7 and Windows Server 2008 R2

3. Getting the Effective Audit Policy in Windows 7 and 2008 R2

4. Advanced Security Auditing FAQ

Реклама

комментариев 7

  1. «Ключевым оказалось слово Reconfigure из третьего пункта: каждую настройку классического аудита в групповой политике надо выключить, сохранить, включить заново ….» Илья подскажите что значит сохранить, ведь в политиках не такой «кнопки»??

  2. Огромное спасибо, коллега, за этот материал. Сэкономил кучу времени на этих же граблях. Один вопрос — не могу понять, где именно нужно искать события после включения расширенного аудита, где этот пресловутый журнал Microsoft-Windows-Audit в Win2008R2 ?
    Заранее благодарен.

    • Его не видно, если расширенный аудит не включен.
      Посмотрите так Get-WinEvent -ListLog Microsoft-Windows-Audit/Analytic | fl *

      • Все понятно, спасибо.
        Весьма муторная тема с этим расширенным аудитом, учитывая, что доменов в хозяйстве с десяток :(
        Может проще вернуться к базовому аудиту, увеличив размер журнала и закрыв глаза на кучку лишних событий ?

  3. Если вам хватает возможностей обычного аудита, то включать расщиренный нет смысла.

  4. Возможностей хватает, но есть единственная проблема — слишком много никчемных событий, которые забивают журнал. За сутки 256 Мб журнала — норма. Если бы можно было бы просто отключить мусор, не настраивая расширенный режим — было бы прекрасно.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: