none
windows sever 2008 R2 SP1本地安全策略中的“审核策略”无法修改 RRS feed

  • 问题

  • windows sever 2008 R2 SP1本地安全策略中的“审核策略”无法修改,每次修改为成功失败都审核,设备正常运行10分钟就全部变回无审核了。请问这个问题怎么解决。
    2018年5月7日 2:10

全部回复

  • 你好, 

    本论坛主要针对Office 2016产品的相关讨论。注意到你的问题涉及到Windows server上面的组策略设置。我们会将你的帖子移到Windows server论坛做进一步谈论。

    感谢你的理解。


    Best Regards,
    Winnie Liang


    Please remember to mark the replies as answers if they helped. If you have feedback for TechNet Subscriber Support, contact tnsf@microsoft.com.


    Click here to learn more. Visit the dedicated forum to share, explore and talk to experts about Microsoft Teams.

    2018年5月7日 8:21
  • 好的,感谢。
    2018年5月7日 8:34
  • 您好,

    正常来说,审核策略设置成功后,是不会自动消失的。

    我怀疑您的环境中可能其他管理员或者不止一个人知道您的管理员账号和密码,服务器上的审核策略是由其他人修改的。

    因此,我建议您首先启用高级审核策略中的“审核审核策略更改”,并修改其他您所需要的审核策略。当您发现这些审核策略被恢复默认的时候,检查安全日志中的事件4719,来确认审核策略是被谁更改的。

    Best Regards,

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年5月8日 9:10
    版主
  • 按照您的建议我修改了“审核审核策略更改”,但是我修改审核策略时并未有安全日志产生,我重新对本地安全策略中的“审核策略”进行了修改发现,改策略时只能生效一次,我策略修改完成后,当我关闭该窗口再次重新打开审核策略是,发现之前的修改项已经恢复默认了。
    2018年5月9日 0:59
  • 您好,

    对于您的问题,我又进行了一些研究。

    我猜测您提到的自动恢复为无审核的策略是位于安全设置本地策略审核策略,而不是位于高级审核策略配置下。

    如果是,这是一个正常现象,我建议您检查一下安全选项中策略“审核:强制审核策略子类别设置替代审核策略类别设置”的状态,将该策略设置为已禁用,然后重新配置审核策略,或者使用高级审核策略代替基本审核策略。

    供您参考:

    https://docs.microsoft.com/zh-cn/windows/security/threat-protection/security-policy-settings/audit-force-audit-policy-subcategory-settings-to-override

    如果您有任何疑问,请随时告诉我们。

    谢谢

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年5月9日 6:41
    版主
  • HI 您好:

         根据您的建议,我再强制审核策略那里做了禁用,并且重新配置审核策略,但是问题依然存在。。。。您说的在高级策略里面做配置是怎么实现呢,我找不到与审核策略里面的那几项对应的审核策略。

         需要说明的是:强制审核策略那里做了禁用,并且重新配置审核策略后,关闭该审核策略窗口,再重新打开之前的更改是被保存过的,但是我在1小时后再进来看,发现策略又已经恢复默认了。

        

    2018年5月9日 10:03
  • 你的这个问题,我建议你先到AD的组策略管理器中看一下是否启用了审核策略,因为本地策略是继承组策略的配置的
    2018年5月9日 10:35
  • hi 您好:

                我这个设备没有加入过AD域,审核只要一恢复就没日志了,比较难处理,请问还有别的排查或解决方式么。

    2018年5月10日 2:17
  • 您好,

    我正在对这个问题进行研究,这可能需要点事件,希望您可以耐心等待;如果我这边有新的发现,我会立即与您分享。

    此外,禁用了审核:强制审核策略子类别设置替代审核策略类别设置” 后,我们需要重启一下计算机,如果您没有重启过,建议您重启后再修改审核策略并继续观察。

    对于您另外的疑问“您说的在高级策略里面做配置是怎么实现呢,我找不到与审核策略里面的那几项对应的审核策略。”,上面的审核策略,与下面的高级审核策略其实是相对应的,每启用一个上面的审核策略类别,相当于是启用了高级审核策略中相对应的策略类别中的所有子项。

    比如说,我在上面启用了审核账户管理,然后通过命令auditpol /get /category:*进行查看,我们会发现,实际上启用了下图中显示的这些策略:

    而对应的这些策略,我们都可以在高级审核策略中找到:

    在下面这个网站以及每个审核策略的说明中,我们可以找到更多的信息:

    https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings

    如果您有任何疑问,请随时与我们联系。

    感谢您的理解和支持。

    William



    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2018年5月10日 5:42
    版主
  • 您好,

    我正在查看这个问题的进度,如果您有任何问题,请随时与我们联系。

    如果您使用我们的方法解决了问题,请将其“标记为答复”,以帮助其他社区成员能够快速找到有帮助的答复。
    如果您使用自己的方法解决了问题,请在此分享您的经验,这将对其他有类似问题的社区成员非常有益。
    如果问题还没有解决,请回复并告诉我们目前的情况,以便我们能够提供进一步的帮助。

    期待您的反馈。

    Best Regards,
    William

    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年5月14日 12:57
    版主
  • 您好,

     

    我正在查看这个问题的进度。

    如果问题还没有解决,请回复并告诉我们目前的情况,以便我们能够提供进一步的帮助。

     

    期待您的反馈.

    Best Regards,

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年5月16日 2:41
    版主
  • 您好,按照上面的步骤都试了还是不行,安全设置——本地策略——审核策略:里面只有审核策略更改可以设置成功,其他的设置完成后进行策略更新,然后设置就全部没有了,就剩一个审核策略更改还在,其他都是无审核,请帮忙看一下什么原因,如何解决,谢谢。

    windows server 2008 R2操作系统。

    2018年5月23日 5:05
  • 您好,

    非常抱歉,我的回复比较迟。

    我们进行了进一步的研究,但是您描述的问题有点特殊,我们无法复现这个问题。

    为了您能够找出问题的原因并解决这个问题,我建议您联系微软客户服务中心取得协助。

    https://support.microsoft.com/zh-cn/gp/contactus81?Audience=Commercial&wa=wsignin1.0

    感谢您的理解和支持。

    Best Regards,

    William


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年5月29日 9:08
    版主