189 8069 5689

记一次曲折的安全策略配置

实施要求:

1、开启本地策略->审核策略下的所有策略(成功和失败),如图:
记一次曲折的安全策略配置
2、开启审核筛选平台连接,如图:(这是一个雷,后面正文中会提到)
记一次曲折的安全策略配置
总结:此次实施需要接入上百台WindowsServer服务器审核日志,没有域,所以只能一台台手动配置,为增加工作效率,从而使用批处理命令完成操作。

创新互联建站是创新、创意、研发型一体的综合型网站建设公司,自成立以来公司不断探索创新,始终坚持为客户提供满意周到的服务,在本地打下了良好的口碑,在过去的10年时间我们累计服务了上千家以及全国政企客户,如成都航空箱等企业单位,完善的项目管理流程,严格把控项目进度与质量监控加上过硬的技术实力获得客户的一致夸奖。

步骤详情:

1、 使用secedit命令进行策略设置

secedit语法参考:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/secedit

echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=3 >>1.inf
echo AuditObjectAccess=3 >>1.inf
echo AuditPrivilegeUse=3 >>1.inf
echo AuditPolicyChange=3 >>1.inf
echo AuditAccountManage=3 >>1.inf
echo AuditProcessTracking=3 >>1.inf
echo AuditDSAccess=3 >>1.inf
echo AuditAccountLogon=3 >>1.inf
echo AuditLogonEvents=3 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*

执行方法:将上述命令复制黏贴到txt文本中,修改文件后缀名为.bat,以管理员身份运行(此处必须使用管理员身份运行)

注释:上述命令中参数值为3,表示审核成功和失败。参数值为0时,表示无审核。

这个命令执行完成后,将在当前目录产生一个1.sdb,它是“中间产品”,你可以删除它。
/quiet参数表示“安静模式”,不产生日志。但也有可能会产生日志。最后del 1.*表示删除名称为“1”的所有文件(也就是执行上述命令式产生的文件)。

正文开始

刚才就是全部的正式内容了,下面为大家讲讲我整个过程中遇到的问题以及解决方法。(其实个人认为这才是真正有用的内容,经验难得)

Model1:

刚拿到需求的时候我是想先在一台服务器上配置好审核策略,然后使用secedit命令导出配置好的策略,然后导入其他服务器。

问题1:服务器太多,业务不同。贸然导入策略有可能会影响业务
问题2:secedit命令只能导入导出本地策略,不能对高级审核策略生效

故此方法放弃。

Model2:
使用命令行配置需要更改的策略。secedit命令操作本地策略,auditpol操作高级审核策略。

auditpol语法参考:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/auditpol

secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
AuditPol /set /subcategory:"筛选平台连接" /failure:enable /success:enable

问题1:命令中的中文字符在批处理命令运行时显示乱码,无法执行(单独执行时则成功)
解决:使用*auditpol /list /subcategory: /r命令查看对象访问筛选平台连接sid**。

这里请自行查询并更改sid。如下图:
记一次曲折的安全策略配置
执行如下命令:

auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable

此时问题又来了,执行完上述命令后居然提示参数不对???此时心中一万只草泥马飞过,查边论坛无果,命令也是从从微软官方示例复制过来的,现在我只怀疑这是玄学问题,不过小伙伴们可以试一下,万一呢?

问题2:不多数,直接上图
记一次曲折的安全策略配置
提示命令成功,执行gpupdate /force命令更新策略,打开审核筛选平台连接后显示“未配置”,这可能又是一个玄学问题吧!
解决:命令行输入secpol.msc,打开配置窗口,手动点击审核筛选平台连接进行配置。(兜兜转转最后还是得手动勾选)

这是一个雷

当我做到这一步时,我几近崩溃。原因容我娓娓道来,当我使用批处理命令配置完审核策略后,手动配置了审核筛选平台连接。命令行输入gpupdate /force更新策略,我以为大功告成了,可是发生了这一幕:
记一次曲折的安全策略配置
我擦了擦眼,我没看花眼,你们也没看花眼。之前配置无误的审核策略全都变成了“无审核”。一遍逛论坛一边自行尝试,最终发现问题所在:

设置高级审核策略后,会覆盖本地策略

在高级策略中我只设置了筛选平台连接,其他未设置,所以最终被覆盖为未审核。

解决方法1:手动将高级策略中的全部选项勾选,这样即便本地策略被覆盖,依然会得到更详细的日志。
解决方法2:不设置高级策略。

未完待续!


新闻标题:记一次曲折的安全策略配置
网站链接:http://cdxtjz.com/article/jdpgdg.html

其他资讯