记一次曲折的安全策略配置-创新互联

实施要求：

1、开启本地策略->审核策略下的所有策略（成功和失败），如图：
记一次曲折的安全策略配置
2、开启审核筛选平台连接，如图：（这是一个雷，后面正文中会提到）

总结：此次实施需要接入上百台WindowsServer服务器审核日志，没有域，所以只能一台台手动配置，为增加工作效率，从而使用批处理命令完成操作。

创新互联公司凭借在网站建设、网站推广领域领先的技术能力和多年的行业经验，为客户提供超值的营销型网站建设服务，我们始终认为：好的营销型网站就是好的业务员。我们已成功为企业单位、个人等客户提供了成都网站设计、网站制作服务，以良好的商业信誉，完善的服务及深厚的技术力量处于同行领先地位。

步骤详情：

1、使用secedit命令进行策略设置

secedit语法参考：https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/secedit

echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=3 >>1.inf
echo AuditObjectAccess=3 >>1.inf
echo AuditPrivilegeUse=3 >>1.inf
echo AuditPolicyChange=3 >>1.inf
echo AuditAccountManage=3 >>1.inf
echo AuditProcessTracking=3 >>1.inf
echo AuditDSAccess=3 >>1.inf
echo AuditAccountLogon=3 >>1.inf
echo AuditLogonEvents=3 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*

执行方法：将上述命令复制黏贴到txt文本中，修改文件后缀名为.bat，以管理员身份运行（此处必须使用管理员身份运行）
注释：上述命令中参数值为3，表示审核成功和失败。参数值为0时，表示无审核。

这个命令执行完成后，将在当前目录产生一个1.sdb，它是“中间产品”，你可以删除它。
/quiet参数表示“安静模式”，不产生日志。但也有可能会产生日志。最后del 1.*表示删除名称为“1”的所有文件（也就是执行上述命令式产生的文件）。

正文开始

刚才就是全部的正式内容了，下面为大家讲讲我整个过程中遇到的问题以及解决方法。（其实个人认为这才是真正有用的内容，经验难得）

Model1：

刚拿到需求的时候我是想先在一台服务器上配置好审核策略，然后使用secedit命令导出配置好的策略，然后导入其他服务器。

问题1：服务器太多，业务不同。贸然导入策略有可能会影响业务
问题2：secedit命令只能导入导出本地策略，不能对高级审核策略生效

故此方法放弃。

Model2：
使用命令行配置需要更改的策略。secedit命令操作本地策略，auditpol操作高级审核策略。

auditpol语法参考：https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/auditpol

secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
AuditPol /set /subcategory:"筛选平台连接" /failure:enable /success:enable

问题1：命令中的中文字符在批处理命令运行时显示乱码，无法执行（单独执行时则成功）
解决：使用*auditpol /list /subcategory: /r命令查看对象访问和筛选平台连接的sid**。

这里请自行查询并更改sid。如下图：
记一次曲折的安全策略配置
执行如下命令：

auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable

此时问题又来了，执行完上述命令后居然提示参数不对？？？此时心中一万只草泥马飞过，查边论坛无果，命令也是从从微软官方示例复制过来的，现在我只怀疑这是玄学问题，不过小伙伴们可以试一下，万一呢？

问题2：不多数，直接上图
记一次曲折的安全策略配置
提示命令成功，执行gpupdate /force命令更新策略，打开审核筛选平台连接后显示“未配置”，这可能又是一个玄学问题吧！
解决：命令行输入secpol.msc，打开配置窗口，手动点击审核筛选平台连接进行配置。（兜兜转转最后还是得手动勾选）

这是一个雷

当我做到这一步时，我几近崩溃。原因容我娓娓道来，当我使用批处理命令配置完审核策略后，手动配置了审核筛选平台连接。命令行输入gpupdate /force更新策略，我以为大功告成了，可是发生了这一幕：
记一次曲折的安全策略配置
我擦了擦眼，我没看花眼，你们也没看花眼。之前配置无误的审核策略全都变成了“无审核”。一遍逛论坛一边自行尝试，最终发现问题所在：

设置高级审核策略后，会覆盖本地策略

在高级策略中我只设置了筛选平台连接，其他未设置，所以最终被覆盖为未审核。

解决方法1：手动将高级策略中的全部选项勾选，这样即便本地策略被覆盖，依然会得到更详细的日志。
解决方法2：不设置高级策略。

未完待续！

另外有需要云服务器可以了解下创新互联scvps.cn，海内外云服务器15元起步，三天无理由+7*72小时售后在线，公司持有idc许可证，提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案，具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势，专为企业上云打造定制，能够满足用户丰富、多元化的应用场景需求。

当前标题：记一次曲折的安全策略配置-创新互联
本文来源：http://www.wjwzjz.com/article/dpoois.html