none
系统自带的"本地安全策略"里面, 个人创建的策略组启用后, 是否会被系统改为默认的策略组? RRS feed

  • 问题

  • 系统自带的"本地安全策略"里面, 个人创建的策略组启用后, 是否会被系统改为默认的策略组?

    操作系统版本:Windows Server 2008 Standard. 在Local security policy\本地安全策略目录下的IP Security policies on local computer\本地IP安全策略目录, 除了系统默认自带的三个策略组, 手动创建了一个策略组. 并把这个策略组启用(确认只有新创建的策略组状态为是, 是启用的). 但是过一段时间后, 发现 新建的策略组状态改为""否", 被禁用.  而另外一个系统默认的策略组/Secure Server状态为"是", 处于激活在用状态. 我的问题:

    1. 在"IP Security policies on local computer"目录下, 有没可能, 系统会自动修改策略组, 把个人创建的策略组禁用, 激活启用系统自带默认的一个策略组? 现在要确认, 是系统自动修改的, 还是被人为修改的. 

    2. 对IP Security policies on local computer的任何修改, 系统会不会有记录日志? 怎么查询? 

    3. 在“IP Security policies on local computer”下, 系统有三个默认策略组: Like Secure Sever(require Security), Client (respond only), server (request security). 只保留我新创建的策略组, 而把这几个缺省策略组删除,有什么影响? 

    系统信息及策略组截图见下面信息:

    1). System information:

    C:\Users\Administrator>systeminfo

    Host Name:                 RSHIGWBHW02

    OS Name:                   Microsoft? Windows Server? 2008 Standard

    OS Version:                6.0.6002 Service Pack 2 Build 6002

    OS Manufacturer:           Microsoft Corporation

    OS Configuration:          Standalone Server

    OS Build Type:             Multiprocessor Free

    Registered Owner:          Windows User

    Registered Organization:

    Product ID:                92573-OEM-7508XXX-XXXXX

    Original Install Date:     7/16/2017, 3:58:06 PM

    System Boot Time:          11/1/2017, 3:15:14 PM

    System Manufacturer:       Dell Inc.

    System Model:              PowerEdge R530

    System Type:               X86-based PC

    Processor(s):              1 Processor(s) Installed.

                               [01]: x64 Family 6 Model 79 Stepping 1 GenuineIntel ~

    1698 Mhz

    BIOS Version:              Dell Inc. 2.4.2, 1/9/2017

    Windows Directory:         C:\Windows

    System Directory:          C:\Windows\system32

    Boot Device:               \Device\HarddiskVolume1

    System Locale:             zh-cn;Chinese (China)

    Input Locale:              en-us;English (United States)

    Time Zone:                 (GMT+08:00) Kuala Lumpur, Singapore

    Total Physical Memory:     4,001 MB

    Available Physical Memory: 2,901 MB

    Page File: Max Size:       8,180 MB

    Page File: Available:      7,361 MB

    Page File: In Use:         819 MB

    Page File Location(s):     C:\pagefile.sys

    Domain:                    WORKGROUP

    Hotfix(s):                 221 Hotfix(s) Installed

    2). 创建的策略组: iGWB IP Sec

    2017年11月8日 4:22

答案

  • 您好,

    关于您的问题:

    1. 根据我查找到的一些资料以及您描述的现象,这个修改应该是由某个应用修改的,或者是被人为修改的,Windows 系统本身不会对它进行修改。
    2. 对于IP Security Policies on local Computer 的修改,据我所知,是没有直接的日志记录的;但因为最终的设置都是保存到注册表中的,因此我们可以使用审核策略中的审核注册表来监测对IP 安全策略的修改。同时,我们也可以使用Process Monitor来实现对注册表键值修改的实时监控。
    3. 对于三条默认策略,根据我的理解,如果您有自己的策略,而默认的策略没有被Assign,那么它们是可以删除的。

    如何审计注册表:

    1. 启用审核策略。
      依次展开本地安全策略中的高级审核策略配置系统审核策略 -- 对象访问 双击审核注册表并勾选配置以下审核事件、成功,然后保存并关闭
    2. 修改注册表的审核权限

           a.打开注册表编辑器,定位到HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local

           b.右击Local打开权限对话框,然后点击“高级”打开“高级安全设置”对话框。

           c.在审核标签中添加Everyone组并勾选“设置数值”“创建子项”。

           d.保存并关闭所有对话框,当IP Security policies 再次被更改时,我们可以通过事件查看器中的安全事件(事件ID:4657)来确定是哪个用户修改了IP security policies 设置。

    Process Monitor下载地址:

    https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

    如果您还有其他疑问,请随时告诉我。

    谢谢

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月9日 6:43
    版主
  • 您好,

    这些脚本看不出有啥异常的,我建议您开启审核策略,并定期检查审核日志,看看是哪个用户更改了策略。

    如果有其他可以帮助的地方,也请告知我们。

    谢谢


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月16日 10:34
    版主

全部回复

  • 您好,

    关于您的问题:

    1. 根据我查找到的一些资料以及您描述的现象,这个修改应该是由某个应用修改的,或者是被人为修改的,Windows 系统本身不会对它进行修改。
    2. 对于IP Security Policies on local Computer 的修改,据我所知,是没有直接的日志记录的;但因为最终的设置都是保存到注册表中的,因此我们可以使用审核策略中的审核注册表来监测对IP 安全策略的修改。同时,我们也可以使用Process Monitor来实现对注册表键值修改的实时监控。
    3. 对于三条默认策略,根据我的理解,如果您有自己的策略,而默认的策略没有被Assign,那么它们是可以删除的。

    如何审计注册表:

    1. 启用审核策略。
      依次展开本地安全策略中的高级审核策略配置系统审核策略 -- 对象访问 双击审核注册表并勾选配置以下审核事件、成功,然后保存并关闭
    2. 修改注册表的审核权限

           a.打开注册表编辑器,定位到HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local

           b.右击Local打开权限对话框,然后点击“高级”打开“高级安全设置”对话框。

           c.在审核标签中添加Everyone组并勾选“设置数值”“创建子项”。

           d.保存并关闭所有对话框,当IP Security policies 再次被更改时,我们可以通过事件查看器中的安全事件(事件ID:4657)来确定是哪个用户修改了IP security policies 设置。

    Process Monitor下载地址:

    https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

    如果您还有其他疑问,请随时告诉我。

    谢谢

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月9日 6:43
    版主
  • 您好,

    请问上面的信息对您的问题有帮助吗? 

    Best Regards,

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月13日 10:11
    版主
  • 您好,

    只是确认一下当前的状况。如果需要进一步的帮助,请告知我们。

    谢谢

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月15日 2:45
    版主
  • 有帮助.多谢.

    从系统日志看到, 在我们的策略Local security policy策略组修改时间前几分钟,确实有用户(10.42.24.109)登录这台服务器.但是客户说他们只是运行了一些简单脚本. 请问如下脚本,可能会对策略造成影响吗?

    1.脚本_1

    @echo off
    title This is first batch script!
    echo The computer is initializing data, please do not interrupt!

    echo: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt

    echo: %DATE% >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    echo: %TIME% >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    echo: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt

    echo: LocalDisk C >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    fsutil volume diskfree c: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    echo: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt

    echo: LocalDisk D >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    fsutil volume diskfree d: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    echo: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt

    echo: LocalDisk E >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    fsutil volume diskfree E: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    echo: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt

    echo:               *****************  >> C:\auto_igwb\KMRSSHW01-IGWB1.txt


    @echo off
    title This is end first batch script!
    echo Job completed.
    echo:


    exit

    2.脚本_2

    @echo off
    title This is first batch script!
    echo Transferring File, please do not interrupt!

    copy C:\auto_igwb\KMRSSHW01-IGWB1.txt E:\backsave\auto_igwb /Y

    3. 脚本_3

    @echo off
    title This is first batch script!
    echo Transfer file in progress, please do not interrupt!

    copy C:\auto_igwb\KMRSSHW01-IGWB1.txt \\10.42.24.109\igwb_disknfo /Y

    pause


    2017年11月15日 13:03
  • 仔细检查系统日志, 在我们的服务器上, 从系统日志看到, 在我们的策略Local security policy策略组修改时间前几分钟,确实有用户从另外一台服务器(10.42.24.109)登录出问题这台服务器.但是客户说他们只是运行了一些简单脚本. 请问如下脚本,可能会对策略造成影响吗?

    1.脚本_1

    @echo off
    title This is first batch script!
    echo The computer is initializing data, please do not interrupt!

    echo: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt

    echo: %DATE% >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    echo: %TIME% >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    echo: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt

    echo: LocalDisk C >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    fsutil volume diskfree c: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    echo: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt

    echo: LocalDisk D >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    fsutil volume diskfree d: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    echo: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt

    echo: LocalDisk E >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    fsutil volume diskfree E: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt
    echo: >> C:\auto_igwb\KMRSSHW01-IGWB1.txt

    echo:               *****************  >> C:\auto_igwb\KMRSSHW01-IGWB1.txt


    @echo off
    title This is end first batch script!
    echo Job completed.
    echo:


    exit

    2.脚本_2

    @echo off
    title This is first batch script!
    echo Transferring File, please do not interrupt!

    copy C:\auto_igwb\KMRSSHW01-IGWB1.txt E:\backsave\auto_igwb /Y

    3. 脚本_3

    @echo off
    title This is first batch script!
    echo Transfer file in progress, please do not interrupt!

    copy C:\auto_igwb\KMRSSHW01-IGWB1.txt \\10.42.24.109\igwb_disknfo /Y

    pause

    2017年11月15日 13:05
  • 您好,

    这些脚本看不出有啥异常的,我建议您开启审核策略,并定期检查审核日志,看看是哪个用户更改了策略。

    如果有其他可以帮助的地方,也请告知我们。

    谢谢


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年11月16日 10:34
    版主