Использование групповой политики для настройки подробных параметров аудита безопасности на клиентских компьютерах с системой Windows Vista в домене Windows Server 2003 или домене Windows 2000

Переводы статьи Переводы статьи
Код статьи: 921469 - Vizualiza?i produsele pentru care se aplic? acest articol.
Сведения о бета-версии
В этой статье содержатся сведения о бета-версии продукта Майкрософт. Сведения в этой статье предоставляются «как есть» и могут быть изменены без предварительного уведомления.

Корпорация Майкрософт не осуществляет официальную поддержку данной бета-версии продукта. Сведения о получении поддержки для бета-версии см. в документации, входящей в комплект ее поставки, или на веб-узле, с которого она была загружена.
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье содержатся сведения об использовании групповой политики для настройки параметров аудита безопасности на клиентских компьютерах с системой Windows Vista в домене Windows Server 2003 или домене Windows 2000. С помощью подкатегорий политики аудита в системе Windows Vista можно более точно управлять политиками аудита. В статье описывается процедура, которую администраторы могут использовать для развертывания настраиваемой политики аудита, применяющей подробные параметры аудита безопасности на клиентских компьютерах с системой Windows Vista.

ВВЕДЕНИЕ

В статье содержатся сведения об использовании групповой политики для настройки подробных параметров аудита безопасности на клиентских компьютерах с системой Windows Vista в домене Windows Server 2003 или домене Windows 2000. В системе Windows Vista возможности управления индивидуальными подкатегориями политики аудита расширены по сравнению с более ранними версиями системы Windows. Индивидуальные подкатегории политики аудита в системе Windows Vista не отображаются в интерфейсе средств групповой политики. Администраторы могут использовать описанную в статье процедуру, чтобы развертывать настраиваемую политику аудита, применяющую подробные параметры аудита безопасности на клиентских компьютерах с системой Windows Vista в домене Windows Server 2003 или в домене Windows 2000.

Дополнительная информация

Рекомендации

Далее приведены некоторые рекомендации, которые следует учесть перед выполнением процедуры, описанной в этой статье.
  • Процедура использует пример кода. В примере кода используется общий ресурс службы Netlogon. Кроме того, в примере кода в качестве кэша используется папка %SystemRoot%\Temp.
  • В процедуре используется пример домена Contoso.com.
  • Для выполнения процедуры необходимы следующие условия:
    • Пользователь знаком со следующими технологиями и средствами:
      • сценарии запуска групповой политики;
      • консоль управления групповыми политиками;
      • средство командной строки Auditpol.exe.
    • Пользователь обладает основными знаниями об обработке пакетных файлов.
    • Пользователь может настроить одну политику аудита на клиентских компьютерах с системой Windows Vista в домене Windows Server 2003 или в домене Windows 2000. Политика аудита назначается доменной политике по умолчанию.
  • Пользователь знаком со сценариями, которые процедура использует для замены существующих параметров политики аудита под управлением домена на подробные параметры политики аудита, имеющиеся в системе Windows Vista. При отсутствии необходимости настраивать подробные параметры политики аудита, имеющиеся в системе Windows Vista, не используйте процедуру, описанную в этой статье.

Использование групповой политики для настройки подробных параметров политики аудита на клиентских компьютерах с системой Windows Vista

Чтобы настроить подробные параметры политики аудита на клиентских компьютерах с системой Windows Vista в домене Windows Server 2003 или в домене Windows 2000 с помощью групповой политики, выполните следующие действия.

Шаг 1. Определите параметры аудита безопасности, которые необходимо развернуть на клиентских компьютерах с системой Windows Vista

  1. Войдите в систему компьютера с ОС Windows Vista в качестве пользователя, обладающего правами администратора.
  2. Нажмите кнопку Пуск, выберите меню Все программы, затем Стандартные, щелкните правой кнопкой мыши пункт Командная строка и выберите пункт Запуск от имени администратора.
  3. В диалоговом окне Контроль учетных записей нажмите кнопку Продолжить.
  4. Очистите параметры политики аудита, заданные по умолчанию. Для этого в командной строке введите следующую команду:
    auditpol /clear
    и нажмите клавишу «ВВОД».
  5. Чтобы настроить необходимые параметры политики аудита, воспользуйтесь средством командной строки Auditpol.exe.

    Например, введите следующие команды в командной строке.
    auditpol /set /subcategory:"user account management" /success:enable /failure:enable
    auditpol /set /subcategory:"logon" /success:enable /failure:enable
    auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
    После ввода каждой команды нажимайте клавишу «ВВОД». Примечание. Чтобы просмотреть все имеющиеся категории и подкатегории, введите следующую команду в командной строке:
    auditpol /list /subcategory:*
    и нажмите клавишу «ВВОД».
  6. Введите следующую команду в командной строке:
    auditpol /backup /file:auditpolicy.txt
    и нажмите клавишу «ВВОД».
  7. Скопируйте файл Auditpolicy.txt file в общую папку средства Netlogon контроллера домена, который исполняет роль эмулятора основного контроллера домена.

    В файле Auditpolicy.txt содержатся все параметры политики аудита, настроенные пользователем. Сценарий запуска использует этот файл для повторного применения политики. После однократного применения сценария запуска больше не придется перезагружать компьютер, чтобы обновить параметры политики аудита. Чтобы обновить параметры политики аудита, перезапишите раннюю версию файла Auditpolicy.txt, скопированную в общую папку средства Netlogon. Для этого создайте новый файл Auditpolicy.txt и скопируйте его в общую папку средства Netlogon.

Шаг 2. Защитите существующую политику аудита на клиентских компьютерах с системой Windows Vista от перезаписи политикой аудита домена

Чтобы защитить существующую политику аудита от перезаписи политикой аудита домена, необходимо включить параметр политики Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings (Принудительно устанавливать параметры подкатегории политики аудита (Windows Vista или более поздние версии) и переопределять параметры категории политики аудита). Это предотвращает перезапись политикой аудита домена более подробных параметров политики аудита на клиентских компьютерах с системой Windows Vista. Для этого выполните следующие действия.
  1. Откройте политику домена по умолчанию на клиентском компьютере с системой Windows Vista, подключенном к домену.
  2. Последовательно разверните узлы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности и Локальные политики, а затем выберите пункт Параметры безопасности.
  3. Дважды щелкните параметр Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings(Аудит: принудительно устанавливать параметры подкатегории политики аудита (Windows Vista или более поздние версии) и переопределять параметры категории политики аудита).
  4. Выберите параметр Включить и нажмите кнопку ОК.

Шаг 3. Создайте сценарии, а затем добавьте их в общую папку средств Netlogon

Корпорация Майкрософт предлагает примеры программного кода только в качестве иллюстрации и не предоставляет явных или подразумеваемых гарантий относительно их пригодности для применения в конкретных целях. Примеры в данной статье рассчитаны на пользователя, имеющего достаточный уровень знаний о соответствующем языке программирования и необходимых средствах разработки и отладки. Специалисты служб технической поддержки корпорации Майкрософт могут пояснить работу той или иной процедуры, но модификация примеров и их адаптация к задачам разработчика не предусмотрена.
  1. Создайте сценарий AuditPolicy.cmd. Для этого выполните следующие действия.
    1. Запустите Блокнот и создайте пустой документ.
    2. Вставьте следующий код в документ Блокнота:
      @echo off
      
      REM AuditPolicy.cmd
      © Корпорация Майкрософт (Microsoft Corp.), 2006.  Все права защищены.
      REM Пример сценария аудита для развертывания системы Windows Vista
      REM Подробные параметры политики аудита.
      
      REM Следует запускать в качестве сценария запуска из групповой политики
      
      REM ###################################################
      REM Объявление переменных, чтобы редактировать
      REM имена / пути файлов только в одном месте сценария
      REM ###################################################
      
      set AuditPolicyLog=%systemroot%\temp\auditpolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=applyauditpolicy.cmd
      set AuditPolicyTxt=auditpolicy.txt
      
      REM ###################################################
      REM Очистка журнала & запуск нового
      REM ###################################################
      
      if exist %AuditPolicyLog% del %AuditPolicyLog% /q /f
      date /t > %AuditPolicyLog% & time /t >> %AuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Проверка версии ОС
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo Версия ОС=%osversion% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Пропуск версий до Windows Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Получение имени домена
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Домен компьютера=%machinedomain% >> %AuditPolicyLog%
      
      REM ###################################################
      REM Копирование политики & сценария в локальную папку или удаление
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Не удается прочитать \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Копирование завершено: \\%machinedomain%\netlogon\%ApplyAuditPolicyCMD% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Не удается прочитать \\%machinedomain%\netlogon\%AuditPolicyTxt% >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Копирование завершено \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Создание назначенного именованного задания для применения политики
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /create /ru System /tn audit /sc hourly /mo 1 /f /rl highest /tr "%systemroot%\temp\%ApplyAuditPolicyCMD%"
      if %ERRORLEVEL% NEQ 0 (
          echo Не удалось создать назначенное задание для аудита >> %AuditPolicyLog%
          exit /b 1
      ) else (
          echo Завершено cоздание назначенного задания для аудита >> %AuditPolicyLog%
      )
      
      REM ###################################################
      REM Запуск назначенного задания для применения политики
      REM ###################################################
      
      %systemroot%\system32\schtasks.exe /run /tn audit
      if %ERRORLEVEL% NEQ 0 (
          Не удалось выполнить назначенное задание для аудита >> %AuditPolicyLog%
      ) else (
          echo Выполнено назначенное задание для аудита >> %AuditPolicyLog%
      )
    3. В меню Файл выберите пункт Сохранить.
    4. В поле Тип файла выберите пункт Все файлы, введите команду AuditPolicy.cmd в поле Имя файла, а затем нажмите кнопку Сохранить.
  2. Создайте сценарий AuditPolicy.cmd. Для этого выполните следующие действия.
    1. Запустите Блокнот и создайте пустой документ.
    2. Вставьте следующий код в документ Блокнота:
      @echo off
      
      REM ApplyAuditPolicy.cmd
      © Корпорация Майкрософт (Microsoft Corp.), 2006.  Все права защищены.
      REM Пример сценария аудита для развертывания системы Windows Vista
      REM Подробные параметры политики аудита.
      
      
      REM ###################################################
      REM Объявление переменных, чтобы редактировать
      REM имена / пути файлов только в одном месте сценария
      REM ###################################################
      
      set DeleteAudit=DeleteAudit.txt
      set AuditPolicyLog=%systemroot%\temp\AuditPolicy.log
      set ApplyAuditPolicyLog=%systemroot%\temp\ApplyAuditPolicy.log
      set OSVersionSwap=%systemroot%\temp\osversionwap.txt
      set OsVersionTxt=%systemroot%\temp\osversion.txt
      set MachineDomainTxt=%systemroot%\temp\machinedomain.txt
      set MachineDomainSwap=%systemroot%\temp\machinedomainSwap.txt
      set ApplyAuditPolicyCMD=ApplyAuditpolicy.cmd
      set AuditPolicyTxt=AuditPolicy.txt
      
      REM ###################################################
      REM Очистка журнала & запуск нового
      REM ###################################################
      
      if exist %ApplyAuditPolicyLog% del %ApplyAuditPolicyLog% /q /f
      date /t > %ApplyAuditPolicyLog% & time /t >> %ApplyAuditPolicyLog%
      echo.
      
      REM ###################################################
      REM Проверка версии ОС
      REM ###################################################
      
      ver | findstr "[" > %OSVersionSwap%
      for /f "tokens=2 delims=[" %%i in (%OSVersionSwap%) do echo %%i > %OsVersionTxt%
      for /f "tokens=2 delims=] " %%i in (%OsVersionTxt%) do set osversion=%%i
      echo Версия ОС=%osversion% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Пропуск до Vista
      REM ###################################################
      
      if "%osversion%" LSS "6.0" exit /b 1
      
      REM ###################################################
      REM Получение имени домена
      REM ###################################################
      
      WMIC /namespace:\\root\cimv2 path Win32_ComputerSystem get domain /format:list > %MachineDomainSwap%
      find /i "Domain=" %MachineDomainSwap% > %MachineDomainTxt%
      for /f "Tokens=2 Delims==" %%i in (%MachineDomainTxt%) do set machinedomain=%%i
      echo Домен компьютера=%machinedomain% >> %ApplyAuditPolicyLog%
      
      REM ###################################################
      REM Удаление задания аудита
      REM Следует использовать только для удаления псевдо-политики с
      REM клиентских компьютеров (разработано для будущих версий ОС Vista,
      REM в которых этот сценарий не будет нужен и
      REM необходимо будет его удалить).
      
      REM Чтобы использовать этот сценарий, создайте в службе входа в сеть файл с именем,
      REM которое соответствует содержимому переменной DeleteAudit (выше)
      REM ###################################################
      
      if exist \\%machinedomain%\netlogon\%DeleteAudit% (
          %systemroot%\system32\schtasks.exe /delete /tn "Audit" /F
          DEL %AuditPolicyLog%
          DEL %ApplyAuditPolicyLog%
          DEL %OSVersionSwap%
          DEL %OsVersionTxt%
          DEL %MachineDomainTxt%
          DEL %MachineDomainSwap%
          DEL %systemroot%\temp\%ApplyAuditPolicyCMD%
          DEL %systemroot%\temp\%AuditPolicyTxt%
          exit /b 1
      ) 
      
      REM ###################################################
      REM Копирование политики аудита в локальную папку
      REM Политика не подвержена сбоям, так как копия является
      REM «обновлением кэша».
      REM ###################################################
      
      xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* /r /h /v /y
      if %ERRORLEVEL% NEQ 0 (
          echo Не удалось прочитать \\%machinedomain%\netlogon\%AuditPolicyTxt% so using previous cached copy>> %ApplyAuditPolicyLog%
      ) else (
          echo Копирование завершено: \\%machinedomain%\netlogon\%AuditPolicyTxt% to %systemroot%\temp >> %ApplyAuditPolicyLog%
      )
      
      REM ###################################################
      REM Применение политики
      REM ###################################################
      
      %systemroot%\system32\auditpol.exe /restore /file:%systemroot%\temp\%AuditPolicyTxt%
      if %ERRORLEVEL% NEQ 0 (
          Не удалось применить параметры аудита >> %ApplyAuditPolicyLog%
      ) else (
          echo Применены параметры аудита >> %ApplyAuditPolicyLog%
      )
    3. В меню Файл выберите пункт Сохранить.
    4. В поле Тип файла выберите пункт Все файлы, введите ApplyAuditPolicy.cmd в поле Имя файла и нажмите кнопку Сохранить.
  3. Скопируйте сценарии AuditPolicy.cmd и ApplyAuditPolicy.cmd в общую папку средства Netlogon контроллера домена, который исполняет роль эмулятора основного контроллера домена.
  4. Дождитесь репликации Active Directory. Также дождитесь репликации файлов и папок в общей папке системного тома (SYSVOL) на контроллерах домена.
  5. Добавьте сценарий запуска в используемую по умолчанию политику домена. Для этого выполните следующие действия.
    1. Запустите оснастку «Active Directory — пользователи и компьютеры».
    2. Щелкните правой кнопкой мыши пункт Имя домена и выберите команду Свойства.
    3. На вкладке Групповая политика выберите пункт Политика домена по умолчанию и нажмите кнопку Изменить. Запустится редактор объектов групповой политики.
    4. Последовательно разверните узлы Конфигурация компьютера и Конфигурация Windows, а затем выберите элемент Сценарии (запуск/завершение).
    5. Дважды щелкните объект Автозагрузка и нажмите кнопку Добавить.
    6. В поле Имя сценария введите путь в формате UNC к файлу AuditPolicy.cmd, находящемуся в общей папке средства Netlogon. Используйте следующий формат:
      \\полное_доменное_имя\Netlogon\AuditPolicy.cmd
      Например, введите команду \\contoso.com\netlogon\auditpolicy.cmd.
    7. Дважды нажмите кнопку ОК.

Шаг 4. Убедитесь в том, что параметры аудита безопасности были применены

  1. Дождитесь репликации Active Directory. Также дождитесь репликации файлов и папок общей папки системного тома (SYSVOL) на контроллерах домена.
  2. Перезагрузите подключенный к домену клиентский компьютер с системой Windows Vista. Войдите в систему в качестве пользователя с правами администратора.
  3. Нажмите кнопку Пуск, выберите пункты Все программы и Стандартные.
  4. Щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.
  5. В диалоговом окне Контроль учетных записей нажмите кнопку Продолжить.
  6. Введите следующую команду в командной строке.
    auditpol /get /category:*
    и нажмите клавишу «ВВОД».
  7. Проверьте соответствие указанных в командной строке параметров аудита безопасности параметрам, настроенным в файле AuditPolicy.txt, создание которого описано в пункте «Шаг 1. Определите параметры аудита безопасности, которые необходимо развернуть на клиентских компьютерах с системой Windows Vista».

    Если параметры аудита безопасности не соответствуют, проверьте файлы журнала, созданные сценарием запуска в папке %SystemRoot%\Temp. Если файлы журнала отсутствуют в папке %SystemRoot%\Temp, проверьте клиентский компьютер с системой Windows Vista, чтобы определить причину, по которой групповая политика не была применена

Ссылки

Для получения дополнительных сведений о настройке сценариев запуска в Active Directory посетите следующие веб-узлы корпорации Майкрософт:
http://technet2.microsoft.com/WindowsServer/en/Library/dcaa775e-0012-4e43-8e68-a31b32b4241f1033.mspx?mfr=true
http://technet2.microsoft.com/WindowsServer/en/Library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true
Дополнительные сведения о консоли управления групповыми политиками см. на следующем веб-узле Майкрософт:
http://technet2.microsoft.com/WindowsServer/en/Library/7a0aaa61-5152-4489-86c9-b083b22b21731033.mspx?mfr=true
Дополнительные сведения о программах командной строки Auditpol.exe и Schtasks.exe см. в Центре справки и поддержки Windows Vista.

Свойства

Код статьи: 921469 - Последний отзыв: 22 ноября 2006 г. - Revision: 2.1
Информация в данной статье относится к следующим продуктам.
  • Windows Vista Ultimate
  • Windows Vista Business
  • Windows Vista Enterprise
Ключевые слова: 
kbhowto kbinfo kbexpertiseinter KB921469

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com