band Posted January 22, 2015 Report Share Posted January 22, 2015 Καλησπέρα. Υπάρχει ένας Windows 2012 server που είναι file server (Hyper-v vm, joined στο domain). Ήθελα να ενεργοποιήσω το "Audit object access" για να παρακολουθώ τις διαγραφές αρχείων. Έφτιαξα ένα group policy στον DC με το σχετικό policy και του είπα στο security filtering ότι ισχύει μόνο για τον file server. Έφτιαξα και το auditing στα folder που ήθελα να παρακολουθώ. Μετά το gpupdate είδα στον event viewer, στο security log, ότι είχε σταματήσει να καταγράφει τα διάφορα "Audit Success" και "Audit Failure" events που έκανε μέχρι πριν λίγη ώρα. Έσβησα το group policy και έκανα gpupdate χωρίς αποτέλεσμα. Έχοντας export το virtual machine πριν ένα μήνα το ανέβασα offline και άρχισα να ψάχνω. Στο local gpedit.msc δεν είχε τίποτα configured στα Audit Policy και Advanced Audit Policy Configuration. Ήταν όλα unconfigured. Τρέχοντας όμως την εντολή auditpol.exe /get /category:* μου έβγαλε αρκετές κατηγορίες που ήταν enabled, ενώ τρέχοντας την ίδια εντολή στον live server μου τα έβγαζε όλα unconfigured.Έκανα auditpol/backup στον offline και auditpol/restore στον live και επανήλθαν. Το security log άρχισε να καταγράφει και πάλι. Ενεργοποιώντας πάλι το GPO στον DC ξανά χάθηκαν και το security log σταμάτησε και πάλι. Οι ερωτήσεις που έχω είναι οι εξής: Αφού στα local GPO δεν έχει τίποτα configured, από που έρχονται τα αποτελέσματα του auditpol.exe /get /category:* που δείχνει να υπάρχει παραμετροποίηση; Γιατί ενεργοποιώντας το GPO στον DC χάνονται όλες οι ρυθμίσεις για το auditing και όχι μόνο αυτό που έχω κάνει configured; Τελικά το auditing από που θα το ορίσω; Από το GPO ή με την εντολή auditpol για κάθε κατηγορία που θέλω. Ευχαριστώ πολύ για τις απαντήσεις σας. Quote Link to comment Share on other sites More sharing options...
Blackman Posted January 22, 2015 Report Share Posted January 22, 2015 κάτσε να βάλω σε σειρά την σκέψη σου...γιατί φοβάμαι ότι κάτι χάνω!δώσε μου λίγο χρόνο Quote Link to comment Share on other sites More sharing options...
band Posted February 2, 2015 Author Report Share Posted February 2, 2015 Καλημέρα, καλό μήνα. Καμιά ιδέα κάποιος; Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.