千家信息网

记一次曲折的安全策略配置

发表于:2024-11-11 作者:千家信息网编辑
千家信息网最后更新 2024年11月11日,实施要求:1、开启本地策略->审核策略下的所有策略(成功和失败),如图:2、开启审核筛选平台连接,如图:(这是一个雷,后面正文中会提到)总结:此次实施需要接入上百台WindowsServer服务器审核
千家信息网最后更新 2024年11月11日记一次曲折的安全策略配置

实施要求:

1、开启本地策略->审核策略下的所有策略(成功和失败),如图:

2、开启审核筛选平台连接,如图:(这是一个雷,后面正文中会提到)

总结:此次实施需要接入上百台WindowsServer服务器审核日志,没有域,所以只能一台台手动配置,为增加工作效率,从而使用批处理命令完成操作。

步骤详情:

1、 使用secedit命令进行策略设置

secedit语法参考:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/secedit

echo [version] >1.infecho signature="$CHICAGO$" >>1.infecho [Event Audit] >>1.infecho AuditSystemEvents=3 >>1.infecho AuditObjectAccess=3 >>1.infecho AuditPrivilegeUse=3 >>1.infecho AuditPolicyChange=3 >>1.infecho AuditAccountManage=3 >>1.infecho AuditProcessTracking=3 >>1.infecho AuditDSAccess=3 >>1.infecho AuditAccountLogon=3 >>1.infecho AuditLogonEvents=3 >>1.infsecedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quietdel 1.*

执行方法:将上述命令复制黏贴到txt文本中,修改文件后缀名为.bat,以管理员身份运行(此处必须使用管理员身份运行)

注释:上述命令中参数值为3,表示审核成功和失败。参数值为0时,表示无审核。

这个命令执行完成后,将在当前目录产生一个1.sdb,它是"中间产品",你可以删除它。
/quiet参数表示"安静模式",不产生日志。但也有可能会产生日志。最后del 1.*表示删除名称为"1"的所有文件(也就是执行上述命令式产生的文件)。

正文开始

刚才就是全部的正式内容了,下面为大家讲讲我整个过程中遇到的问题以及解决方法。(其实个人认为这才是真正有用的内容,经验难得)

Model1:

刚拿到需求的时候我是想先在一台服务器上配置好审核策略,然后使用secedit命令导出配置好的策略,然后导入其他服务器。

问题1:服务器太多,业务不同。贸然导入策略有可能会影响业务
问题2:secedit命令只能导入导出本地策略,不能对高级审核策略生效

故此方法放弃。

Model2:
使用命令行配置需要更改的策略。secedit命令操作本地策略,auditpol操作高级审核策略。

auditpol语法参考:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/auditpol

secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quietAuditPol /set /subcategory:"筛选平台连接" /failure:enable /success:enable

问题1:命令中的中文字符在批处理命令运行时显示乱码,无法执行(单独执行时则成功)
解决:使用*auditpol /list /subcategory: /r命令查看对象访问筛选平台连接sid**。

这里请自行查询并更改sid。如下图:

执行如下命令:

auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable

此时问题又来了,执行完上述命令后居然提示参数不对???此时心中一万只草泥马飞过,查边论坛无果,命令也是从从微软官方示例复制过来的,现在我只怀疑这是玄学问题,不过小伙伴们可以试一下,万一呢?

问题2:不多数,直接上图

提示命令成功,执行gpupdate /force命令更新策略,打开审核筛选平台连接后显示"未配置",这可能又是一个玄学问题吧!
解决:命令行输入secpol.msc,打开配置窗口,手动点击审核筛选平台连接进行配置。(兜兜转转最后还是得手动勾选)

这是一个雷

当我做到这一步时,我几近崩溃。原因容我娓娓道来,当我使用批处理命令配置完审核策略后,手动配置了审核筛选平台连接。命令行输入gpupdate /force更新策略,我以为大功告成了,可是发生了这一幕:

我擦了擦眼,我没看花眼,你们也没看花眼。之前配置无误的审核策略全都变成了"无审核"。一遍逛论坛一边自行尝试,最终发现问题所在:

设置高级审核策略后,会覆盖本地策略

在高级策略中我只设置了筛选平台连接,其他未设置,所以最终被覆盖为未审核。

解决方法1:手动将高级策略中的全部选项勾选,这样即便本地策略被覆盖,依然会得到更详细的日志。
解决方法2:不设置高级策略。

未完待续!

0