Jump to content









Photo

2012 Server. Auditpol command and "Audit policy" GPO


  • Please log in to reply
2 replies to this topic

#1 band

band

    Junior IT

  • Members
  • PipPip
  • 124 posts

Posted 22 January 2015 - 03:36 PM

Καλησπέρα. Υπάρχει ένας Windows 2012 server που είναι file server (Hyper-v vm, joined στο domain). Ήθελα να ενεργοποιήσω το "Audit object access" για να παρακολουθώ τις διαγραφές αρχείων. Έφτιαξα ένα group policy στον DC με το σχετικό policy και του είπα στο security filtering ότι ισχύει μόνο για τον file server. Έφτιαξα και το auditing στα folder που ήθελα να παρακολουθώ. Μετά το gpupdate είδα στον event viewer, στο security log, ότι είχε σταματήσει να καταγράφει τα διάφορα "Audit Success" και "Audit Failure" events που έκανε μέχρι πριν λίγη ώρα. Έσβησα το group policy και έκανα gpupdate χωρίς αποτέλεσμα.

Έχοντας export το virtual machine πριν ένα μήνα το ανέβασα offline και άρχισα να ψάχνω. Στο local gpedit.msc δεν είχε τίποτα configured στα Audit Policy και Advanced Audit Policy Configuration. Ήταν όλα unconfigured.

Τρέχοντας όμως την εντολή auditpol.exe /get /category:* μου έβγαλε αρκετές κατηγορίες που ήταν enabled, ενώ τρέχοντας την ίδια εντολή στον live server μου τα έβγαζε όλα unconfigured.Έκανα auditpol/backup στον offline και auditpol/restore στον live και επανήλθαν. Το security log άρχισε να καταγράφει και πάλι. Ενεργοποιώντας πάλι το GPO στον DC ξανά χάθηκαν και το security log σταμάτησε και πάλι.

 

Οι ερωτήσεις που έχω είναι οι εξής:

  • Αφού στα local GPO δεν έχει τίποτα configured, από που έρχονται τα αποτελέσματα του auditpol.exe /get /category:* που δείχνει να υπάρχει παραμετροποίηση;
  • Γιατί ενεργοποιώντας το GPO στον DC χάνονται όλες οι ρυθμίσεις για το auditing και όχι μόνο αυτό που έχω κάνει configured;
  • Τελικά το auditing από που θα το ορίσω; Από το GPO ή με την εντολή auditpol για κάθε κατηγορία που θέλω.

Ευχαριστώ πολύ για τις απαντήσεις σας.




#2 Blackman

Blackman

    Enterprise Admin!

  • Members
  • PipPipPipPipPipPip
  • 1,966 posts
  • LocationIn a b-boy cypher...

Posted 22 January 2015 - 04:41 PM

κάτσε να βάλω σε σειρά την σκέψη σου...γιατί φοβάμαι ότι κάτι χάνω!
δώσε μου λίγο χρόνο

 


BSc in Business Information Systems,
MSc in Information Technology Management,
MCP, MCSA 2003, 2008, 2016
Chief Information Officer @ V-Group
Founder & CEO @ Hood Groove Management


#3 band

band

    Junior IT

  • Members
  • PipPip
  • 124 posts

Posted 02 February 2015 - 11:42 AM

Καλημέρα, καλό μήνα. Καμιά ιδέα κάποιος;  :)







0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users