Konfiguracja polityki audytu - Proces ręczny

Skonfiguruj listę stacji roboczych systemu Windows do audytu

1. Otwórz Użytkowników i komputery usługi Active Directory.
2. Kliknij prawym przyciskiem myszy na domenę i wybierz Nowy > Grupa.
3. W oknie Nowy obiekt - Grupa, które się otworzy, wpisz „ADAuditPlusWS” jako Nazwa grupy, zaznacz Zakres grupy: Lokalny dla domeny oraz Typ grupy: Zabezpieczenia. Kliknij OK.
4. Prawym przyciskiem myszy kliknij na nowo utworzoną grupę, następnie wybierz Właściwości > Członkowie > Dodaj. Dodaj wszystkie stacje robocze systemu Windows, które chcesz audytować, jako członka tej grupy. Kliknij OK.
5. Używając danych logowania administratora domeny, zaloguj się na dowolnym komputerze, który ma Konsolę zarządzania zasadami grupy (GPMC).

Uwaga: GPMC nie będzie domyślnie zainstalowane na stacjach roboczych i/lub włączone na serwerach członkowskich, dlatego zalecamy skonfigurowanie zasad audytu na kontrolerach domeny systemu Windows. W przeciwnym razie postępuj zgodnie z krokami na tej stronie, aby zainstalować GPMC na wybranym serwerze członkowskim lub stacji roboczej.

6. Przejdź do Start > Narzędzia administracyjne systemu Windows > Zarządzanie zasadami grupy.
7. W GPMC, kliknij prawym przyciskiem myszy na domenę, w której chcesz skonfigurować Zasady grupy. Wybierz Utwórz GPO i powiąż je tutaj. W oknie Nowe GPO, które się otworzy, wpisz „ADAuditPlusWSPolicy” i kliknij OK.
8. Wybierz GPO <nazwa_domeny>_ADAuditPlusWSPolicy. W sekcji Filtr zabezpieczeń, wybierz Uwierzytelnieni użytkownicy. Kliknij Usuń. W oknie Zarządzanie zasadami grupy, które się otworzy, wybierz OK.
9. Wybierz GPO <nazwa_domeny>_ADAuditPlusWSPolicy. W sekcji Filtr zabezpieczeń, kliknij Dodaj i wybierz grupę zabezpieczeń ADAuditPlusWS utworzoną wcześniej. Kliknij OK.

Skonfiguruj zaawansowane polityki audytu

Skonfiguruj polityki audytu ręcznie, korzystając z poniższych kroków:

1. Używając danych logowania administratora domeny, zaloguj się na dowolnym komputerze, który ma GPMC.
2. Przejdź do Start > Narzędzia administracyjne systemu Windows > Zarządzanie zasadami grupy.
3. Kliknij prawym przyciskiem myszy na GPO <nazwa domeny>_ADAuditPlusWSPolicy i wybierz Edytuj.
4. W Edytorze zarządzania zasadami grupy, postępuj zgodnie z poniższymi krokami:

Uwaga: Zaawansowana konfiguracja polityk audytu jest dostępna tylko w systemie Windows Server 2008 lub nowszym. Jeśli masz starszą wersję systemu Windows, skonfiguruj polityki audytu w wersji legacy. Zaleca się, aby skonfigurować zaawansowane polityki audytu zamiast polityk legacy, aby uniknąć przechowywania zbędnych dzienników zdarzeń, ponieważ polityki legacy zawierają więcej niepożądanych zdarzeń.

5. Wybierz Konfiguracja komputera > Polityki > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Konfiguracja zaawansowanej polityki audytu > Polityki audytu.
6. Kliknij, włącz i zapisz polityki audytu, jak pokazano poniżej:

Zaawansowana polityka audytu		Wydarzenia audytu
Kategoria	Podkategoria
Zarządzanie kontem	Audyt zarządzania kontem komputerowym	Sukces
	Audyt zarządzania grupą dystrybucyjną	Sukces
	Audyt zarządzania grupą zabezpieczeń	Sukces
	Audyt zarządzania kontem użytkownika	Sukces i niepowodzenie
Szczegółowe śledzenie	Audyt aktywności PNP	Sukces i niepowodzenie
Logowanie/wylogowanie	Audyt wylogowania	Sukces
	Audyt logowania	Sukces i niepowodzenie
	Audyt serwera polityki sieciowej	Sukces i niepowodzenie
	Audyt innych wydarzeń logowania/wylogowania	Sukces i niepowodzenie
Dostęp do obiektów	Audyt udostępniania plików	Sukces i niepowodzenie
	Audyt systemu plików	Sukces i niepowodzenie
	Audyt manipulacji uchwytami	Sukces
	Audyt innych wydarzeń dostępu do obiektów	Sukces
	Audyt pamięci przenośnych	Sukces i niepowodzenie
Zmiana polityki	Audyt zmiany polityki uwierzytelniania	Sukces
	Audyt zmiany polityki autoryzacji	Sukces
System	Audyt zmiany stanu zabezpieczeń	Sukces

Wymuś zaawansowane polityki audytu

Wymuś zaawansowane polityki audytu ręcznie, korzystając z poniższych kroków:

1. Kliknij prawym przyciskiem myszy na <nazwa domeny>_ADAuditPlusWSPolicy w GPMC.
2. W Edytorze zarządzania politykami grupy, postępuj zgodnie z poniższymi krokami:
3. Wybierz Konfiguracja komputera > Polityki > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Polityki lokalne > Opcje zabezpieczeń > Audyt: Wymuś ustawienia podkategorii polityki audytu (Windows Vista lub nowsze), aby nadpisać ustawienia kategorii polityki audytu.
4. Włącz politykę i kliknij OK.

Skonfiguruj przestarzałe polityki audytu

Skonfiguruj przestarzałe polityki audytu ręcznie, korzystając z poniższych kroków:

1. Przejdź do Start > Narzędzia administracyjne systemu Windows > Zarządzanie politykami grupy.
2. Kliknij prawym przyciskiem myszy na GPO <nazwa domeny>_ADAuditPlusWSPolicy i wybierz Edytuj.
3. W Edytorze zarządzania politykami grupy, postępuj zgodnie z poniższymi krokami:

Uwaga: Zaawansowana konfiguracja polityki audytu jest dostępna tylko w systemie Windows Server 2008 lub nowszym. Jeśli używasz starszej wersji systemu Windows, skonfiguruj polityki audytu w wersji legacy. Zaleca się, aby skonfigurować zaawansowane polityki audytu zamiast polityk legacy, aby uniknąć przechowywania zbędnych dzienników zdarzeń, ponieważ polityki legacy zawierają więcej niepożądanych zdarzeń.

4. Wybierz Konfiguracja komputera > Polityki > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Polityki lokalne > Polityki audytu.
5. Kliknij, włącz i zapisz polityki audytu, jak pokazano poniżej:

Lokalna polityka audytu	Zdydzenia audytu
Kategoria
Audyt zarządzania kontami	Sukces i porażka
Audyt zdarzeń logowania	Sukces
Audyt dostępu do obiektów	Sukces i porażka
Audyt zmian polityki	Sukces
Audyt zdarzeń systemowych	Sukces