Windows 10/8/7, Windows Vista, Windows Server 2008, Windows Server 2008 R2 включают инструмент командной строки Программа политики аудита , AuditPol.exe, расположенный в папке System32, который позволяет вам для более точного управления и аудита параметров подкатегорий политики.
Настройка политики аудита на уровне категории переопределит новую функцию политики аудита подкатегории. Новое значение реестра, представленное в Windows Vista, SCENoApplyLegacyAuditPolicy , позволяет управлять политикой аудита с помощью подкатегорий без необходимости изменения групповой политики. Это значение реестра можно настроить для предотвращения применения политики аудита на уровне категории из групповой политики и из административного инструмента локальной политики безопасности.
AuditPol в Windows
Если вы хотите включить эту опцию, откройте Локальная политика безопасности> Локальные политики> Параметры безопасности.
Теперь на правой панели дважды щелкните «Аудит: принудительно настроить параметры подкатегории политики аудита» (Windows Vista или более поздние версии), чтобы переопределить параметры категории политики аудита. Выберите Enabled> Apply/OK.
AuditPol имеет несколько переключателей, которые позволяют отображать, устанавливать, очищать, резервировать и восстанавливать настройки.
Специально его можно использовать для:
- Установите и запросите политику аудита системы.
- Установите и запросите политику аудита для каждого пользователя.
- Установить и запросить параметры аудита.
- Установите и запросите дескриптор безопасности, используемый для делегирования доступа к политике аудита.
- Сообщите или создайте резервную копию политики аудита в текстовом файле с разделителями-запятыми (CSV).
- Загрузите политику аудита из текстового файла CSV.
- Настройте глобальные ресурсы SACL.
Если вы откроете командную строку от имени администратора, вы можете использовать AuditPol для просмотра определенных параметров аудита, выполнив:
auditpol/get/category: *
Следует отметить, что при просмотре параметров политики аудита с помощью AuditPol и локальной политики безопасности, а именно secpol.msc, параметры могут показывать разные результаты. KB2573113 объясняет причину этого:
AuditPol напрямую вызывает API авторизации для реализации изменений в детальной политике аудита. Secpol.msc управляет объектом локальной групповой политики, что приводит к записи изменений в system32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit \ Audit.csv . Настройки, сохраненные в файле .csv, не применяются непосредственно к системе во время изменения, а вместо этого записываются в файл и считываются позже клиентским расширением (CSE). На следующем цикле обновления групповой политики CSE применяет изменения, которые присутствуют в файле .csv. Secpol.msc отображает то, что установлено в локальном объекте групповой политики. В secpol.msc нет представления «эффективных настроек», которое объединит детальные настройки AuditPol и то, что определено локально, как видно из secpol.msc.
Для более подробной информации посетите AuditPol на TechNet.