Windows 10/8/7, Windows Vista, Windows Server 2008, Windows Server 2008 R2 zawierają narzędzie wiersza polecenia o nazwie Program polityki audytu, AuditPol.exe, umieszczony w folderze System32, który umożliwia bardziej precyzyjne zarządzanie ustawieniami podkategorii zasad i audytowanie ich.
Ustawienie zasad kontroli na poziomie kategorii zastąpi nową funkcję zasad kontroli podkategorii. Nowa wartość rejestru wprowadzona w systemie Windows Vista, SCENoApplyLegacyAuditPolicy, umożliwia zarządzanie zasadami inspekcji przy użyciu podkategorii bez konieczności zmiany zasad grupy. Tę wartość rejestru można ustawić, aby uniemożliwić stosowanie zasad kontroli na poziomie kategorii z zasad grupy i narzędzia administracyjnego lokalnych zasad bezpieczeństwa.
AuditPol w systemie Windows
Jeśli chcesz włączyć tę opcję, otwórz Zasady zabezpieczeń lokalnych> Zasady lokalne> Opcje zabezpieczeń.
Teraz w prawym panelu kliknij dwukrotnie opcję Audyt: Wymuś ustawienia podkategorii zasad inspekcji (Windows Vista lub nowszy), aby zastąpić ustawienia kategorii zasad inspekcji. Wybierz Włączone> Zastosuj / OK.
AuditPol ma kilka przełączników, które umożliwiają wyświetlanie, ustawianie, usuwanie, tworzenie kopii zapasowych i przywracanie ustawień.
W szczególności można go użyć do:
- Ustaw i przeprowadź kontrolę zasad systemu.
- Ustaw i sprawdź zasady inspekcji dla poszczególnych użytkowników.
- Ustaw i sprawdzaj opcje inspekcji.
- Ustaw i zapytaj o deskryptor zabezpieczeń używany do delegowania dostępu do zasad inspekcji.
- Zgłoś lub wykonaj kopię zapasową zasad kontroli do pliku tekstowego z wartościami oddzielonymi przecinkami (CSV).
- Załaduj zasadę audytu z pliku tekstowego CSV.
- Konfiguruj SACL zasobów globalnych.
Jeśli otworzysz wiersz polecenia jako administrator, możesz użyć AuditPol, aby wyświetlić zdefiniowane ustawienia inspekcji, uruchamiając:
auditpol / get / category: *
Należy zauważyć, że podczas przeglądania ustawień zasad inspekcji za pomocą AuditPol i lokalnych zasad bezpieczeństwa viz secpol.msc, ustawienia mogą wykazywać różne wyniki. KB2573113 wyjaśnia przyczynę tego:
AuditPol bezpośrednio wywołuje interfejsy API autoryzacji w celu wdrożenia zmian w szczegółowej polityce audytu. Secpol.msc manipuluje Lokalnym Zasadem Grupy, co powoduje zapis zmian w systemie32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit \ Audit.csv. Ustawienia zapisane w pliku .csv nie są stosowane bezpośrednio w systemie w momencie modyfikacji, ale są zapisywane w pliku i odczytywane później przez rozszerzenie po stronie klienta (CSE). W następnym cyklu odświeżania zasad grupy CSE stosuje modyfikacje obecne w pliku .csv. Secpol.msc wyświetla to, co jest ustawione w lokalnym obiekcie zasad grupy. W secpol.msc nie ma widoku „efektywnych ustawień”, który scaliłby szczegółowe ustawienia AuditPol i tego, co jest zdefiniowane lokalnie, jak widać w secpol.msc.
Aby uzyskać więcej informacji, odwiedź AuditPol w TechNet.
