Этот вопрос касается результата набора Auditpolicy и набора Advanced-Auditpolicy. Вопрос не в том, каков наилучший способ настройки AuditPolicies, а в том, что происходит, когда конфигурация подобна следующему сценарию (что не является рекомендованным Microsoft). Цель состоит в том, чтобы оценить параметры Auditpolicy, а не изменять или улучшать их.
Принимая во внимание следующий сценарий:
- AuditPolicy "Audit account logon events" установлен на "Success".
- AdvancedAuditpolicy «Проверка учетных данных аудита» установлена на «Сбой»
- Все остальные AdvancedAuditpolicy не установлены
- Параметр безопасности «Подкатегория Force Auditpolicy» установлен на «true»
Результат может быть
a)
- Аудит проверки учетных данных: сбой
- Аудит службы проверки подлинности Kerberos: успех
- Аудит операций службы заявок Kerberos: успех
- Аудит событий входа в учетную запись другого пользователя: успех
или
b)
- Аудит Проверка учетных данных: сбой
- Аудит службы проверки подлинности Kerberos: не установлено
- Аудит операций с билетами службы Kerberos: отключено
- Аудит событий входа в учетную запись другого пользователя: не установлено
The Здесь вы найдете раздел часто задаваемых вопросов о взаимодействии: https://docs.microsoft.com/en-US/windows/security/threat-protection/auditing/advanced-security-auditing-faq#bkmk -3 +
, который говорит о двух вещах:
- "Основные параметры c параметры политики аудита несовместимы с расширенными параметрами политики аудита, которые применяются с помощью групповой политики. Когда параметры расширенной политики аудита применяются с помощью групповой политики, параметры текущей политики аудита компьютера очищаются перед применением полученных параметров расширенной политики аудита ". Это указывает на результат b)
и
"Важно. Независимо от того, применяете ли вы расширенные политики аудита с помощью групповой политики или сценариев входа в систему, не используйте базовые параметры политики аудита c в разделе« Локальные политики \ Политика аудита »и дополнительные параметры в разделе« Параметры безопасности \ Расширенная политика аудита ». Конфигурация. Использование расширенных и базовых параметров политики аудита c может привести к непредвиденным результатам в отчетах аудита. " Что может указывать на результат а)
Кажется, что оба утверждения противоречат друг другу.
Я очень рад за любые указатели.
Большое спасибо!