Konfigurowanie polityk audytu - Ręczna konfiguracja

Polityki audytu muszą być skonfigurowane, aby zapewnić rejestrowanie zdarzeń, gdy jakakolwiek aktywność wystąpi.

Skonfiguruj listę serwerów plików Windows do audytu

1. Otwórz Użytkowników i komputery Active Directory.
2. Kliknij prawym przyciskiem myszy na domenę i wybierz Nowy > Grupa.
3. W oknie Nowy obiekt - Grupa, wpisz „ADAuditPlusFS” jako Nazwa grupy, zaznacz Zakres grupy: Lokalna w domenie i Typ grupy: Bezpieczeństwo. Kliknij OK.
4. Kliknij prawym przyciskiem myszy na nowo utworzonej grupie, następnie wybierz Właściwości > Członkowie > Dodaj. Dodaj wszystkie serwery plików Windows, które chcesz audytować jako członka tej grupy. Kliknij OK.
5. Używając poświadczeń administratora domeny, zaloguj się na dowolnym komputerze, który ma zainstalowaną Konsolę zarządzania polityką grupy (GPMC).

Uwaga: GPMC nie będzie domyślnie zainstalowana na stacjach roboczych i/lub nie będzie włączona na serwerach członkowskich, dlatego zalecamy konfigurowanie polityk audytu na kontrolerach domeny Windows. W przeciwnym razie postępuj zgodnie z krokami na tej stronie, aby zainstalować GPMC na wybranym serwerze członkowskim lub stacji roboczej.

6. Przejdź do Start > Narzędzia administracyjne systemu Windows > Zarządzanie polityką grupy.
7. W GPMC, kliknij prawym przyciskiem myszy na domenę, w której chcesz skonfigurować politykę grupy. Wybierz Utwórz GPO i połącz je tutaj. W oknie Nowe GPO, wpisz „ADAuditPlusFSPolicy” i kliknij OK.
8. Wybierz GPO ADAuditPlusFSPolicy. W sekcji Filtrowanie zabezpieczeń, wybierz Użytkownicy uwierzytelnieni. Kliknij Usuń. W otwartym oknie Zarządzania polityką grupy, wybierz OK.
9. Wybierz GPO ADAuditPlusFSPolicy. W sekcji Filtrowanie zabezpieczeń, kliknij Dodaj i wybierz grupę zabezpieczeń ADAuditPlusFS, utworzoną wcześniej. Kliknij OK.

Skonfiguruj zaawansowane polityki audytu

Zaawansowane polityki audytu pomagają administratorom skutecznie zarządzać, które działania są rejestrowane w logach, redukując hałas zdarzeń. Zalecamy konfigurowanie zaawansowanych polityk audytu na systemach Windows Server 2008 i nowszych.

1. Aby to skonfigurować, edytuj <ADAuditPlusFSPolicy>, klikając prawym przyciskiem myszy na politykę i wybierając Edytuj.
2. Przejdź do Konfiguracja > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Konfiguracja zaawansowanej polityki audytu, i skonfiguruj następujące ustawienia.

Kategoria	Podkategoria	Zdarzenia auditu	Cel
Dostęp do obiektów	Audyt systemu plików Audyt udostępniania plików Audyt manipulacji uchwytami	Sukces, Niepowodzenie Sukces Sukces, Niepowodzenie	Audyt udostępniania plików
Zmiana polityki	Audyt zmiany polityki Audyt zmiany polityki autoryzacji	Sukces, Niepowodzenie Sukces	Audyt zmiany uprawnień do plików

Wymuszanie zaawansowanych polityk audytu

Podczas korzystania z zaawansowanych polityk audytu upewnij się, że są one wymuszane nad starszymi politykami audytu.

1. Włącz ustawienia podkategorii polityki audytu "Force" w <ADAuditPlusFSPolicy>.
2. Przejdź do Konfiguracja komputera > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Lokalne zasady > Opcje zabezpieczeń > Audyt: Wymuś ustawienia podkategorii polityki audytu (Windows Vista lub nowszy), aby nadpisać ustawienia kategorii polityki audytu.

Konfiguracja starszych polityk audytu

Z powodu braku dostępności zaawansowanych polityk audytu w Windows Server 2003 i wcześniejszych wersjach, polityki audytu muszą być skonfigurowane dla tych typów serwerów.

1. Aby to ustawić, edytuj <ADAuditPlusFSPolicy> klikając prawym przyciskiem myszy na politykę i wybierając Edytuj.
2. Przejdź do Konfiguracja > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Konfiguracja polityki audytu i skonfiguruj następujące ustawienia.

Kategoria	Wydarzenia audytu	Cel
Dostęp do obiektów	Sukces, Niepowodzenie	Audyt udostępniania plików Monitoring integralności plików Audyt zmiany uprawnień do plików