記一次曲折的安全策略配置

實施要求：

一、開啓本地策略->審覈策略下的全部策略（成功和失敗），如圖：

二、開啓審覈篩選平臺鏈接，如圖：（這是一個雷，後面正文中會提到）

總結：這次實施須要接入上百臺WindowsServer服務器審覈日誌，沒有域，因此只能一臺臺手動配置，爲增長工做效率，從而使用批處理命令完成操做。

步驟詳情：

一、 使用secedit命令進行策略設置

secedit語法參考： https://docs.microsoft.com/zh...

echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=3 >>1.inf
echo AuditObjectAccess=3 >>1.inf
echo AuditPrivilegeUse=3 >>1.inf
echo AuditPolicyChange=3 >>1.inf
echo AuditAccountManage=3 >>1.inf
echo AuditProcessTracking=3 >>1.inf
echo AuditDSAccess=3 >>1.inf
echo AuditAccountLogon=3 >>1.inf
echo AuditLogonEvents=3 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*

執行方法：將上述命令複製黏貼到txt文本中，修改文件後綴名爲.bat，以管理員身份運行（此處必須使用管理員身份運行）

註釋：上述命令中參數值爲3，表示審覈成功和失敗。參數值爲0時，表示無審覈。

這個命令執行完成後，將在當前目錄產生一個1.sdb，它是「中間產品」，你能夠刪除它。
/quiet參數表示「安靜模式」，不產生日誌。但也有可能會產生日誌。最後del 1.*表示刪除名稱爲「1」的全部文件（也就是執行上述命令式產生的文件）。

正文開始

剛纔就是所有的正式內容了，下面爲你們講講我整個過程當中遇到的問題以及解決方法。（其實我的認爲這纔是真正有用的內容，經驗可貴）

Model1：

剛拿到需求的時候我是想先在一臺服務器上配置好審覈策略，而後使用secedit命令導出配置好的策略，而後導入其餘服務器。

問題1：服務器太多，業務不一樣。貿然導入策略有可能會影響業務
問題2：secedit命令只能導入導出本地策略，不能對高級審覈策略生效

故此方法放棄。

Model2：
使用命令行配置須要更改的策略。secedit命令操做本地策略，auditpol操做高級審覈策略。

auditpol語法參考： https://docs.microsoft.com/zh...

secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
AuditPol /set /subcategory:"篩選平臺鏈接" /failure:enable /success:enable

問題1：命令中的中文字符在批處理命令運行時顯示亂碼，沒法執行（單獨執行時則成功）
解決：使用auditpol /list /subcategory:* /r命令查看對象訪問和篩選平臺鏈接的sid。

這裏請自行查詢並更改sid。以下圖：

執行以下命令：

auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable

此時問題又來了，執行完上述命令後竟然提示參數不對？？？此時心中一萬隻草泥馬飛過，查邊論壇無果，命令也是從從微軟官方示例複製過來的，如今我只懷疑這是玄學問題，不太小夥伴們能夠試一下，萬一呢？

問題2：很少數，直接上圖

提示命令成功，執行gpupdate /force命令更新策略，打開審覈篩選平臺鏈接後顯示「未配置」，這可能又是一個玄學問題吧！
解決：命令行輸入secpol.msc，打開配置窗口，手動點擊審覈篩選平臺鏈接進行配置。（兜兜轉轉最後仍是得手動勾選）

這是一個雷

當我作到這一步時，我幾近崩潰。緣由容我娓娓道來，當我使用批處理命令配置完審覈策略後，手動配置了審覈篩選平臺鏈接。命令行輸入gpupdate /force更新策略，我覺得大功告成了，但是發生了這一幕：

我擦了擦眼，我沒看花眼，大家也沒看花眼。以前配置無誤的審覈策略全都變成了「無審覈」。一遍逛論壇一邊自行嘗試，最終發現問題所在：

設置高級審覈策略後，會覆蓋本地策略

在高級策略中我只設置了篩選平臺鏈接，其餘未設置，因此最終被覆蓋爲未審覈。

解決方法1：手動將高級策略中的所有選項勾選，這樣即使本地策略被覆蓋，依然會獲得更詳細的日誌。
解決方法2：不設置高級策略。

未完待續！