记一次曲折的安全策略配置

实施要求：

一、开启本地策略->审核策略下的全部策略（成功和失败），如图：

二、开启审核筛选平台链接，如图：（这是一个雷，后面正文中会提到）

总结：这次实施须要接入上百台WindowsServer服务器审核日志，没有域，因此只能一台台手动配置，为增长工做效率，从而使用批处理命令完成操做。

步骤详情：

一、 使用secedit命令进行策略设置

secedit语法参考： https://docs.microsoft.com/zh...

echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=3 >>1.inf
echo AuditObjectAccess=3 >>1.inf
echo AuditPrivilegeUse=3 >>1.inf
echo AuditPolicyChange=3 >>1.inf
echo AuditAccountManage=3 >>1.inf
echo AuditProcessTracking=3 >>1.inf
echo AuditDSAccess=3 >>1.inf
echo AuditAccountLogon=3 >>1.inf
echo AuditLogonEvents=3 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*

执行方法：将上述命令复制黏贴到txt文本中，修改文件后缀名为.bat，以管理员身份运行（此处必须使用管理员身份运行）

注释：上述命令中参数值为3，表示审核成功和失败。参数值为0时，表示无审核。

这个命令执行完成后，将在当前目录产生一个1.sdb，它是“中间产品”，你能够删除它。
/quiet参数表示“安静模式”，不产生日志。但也有可能会产生日志。最后del 1.*表示删除名称为“1”的全部文件（也就是执行上述命令式产生的文件）。

正文开始

刚才就是所有的正式内容了，下面为你们讲讲我整个过程当中遇到的问题以及解决方法。（其实我的认为这才是真正有用的内容，经验可贵）

Model1：

刚拿到需求的时候我是想先在一台服务器上配置好审核策略，而后使用secedit命令导出配置好的策略，而后导入其余服务器。

问题1：服务器太多，业务不一样。贸然导入策略有可能会影响业务
问题2：secedit命令只能导入导出本地策略，不能对高级审核策略生效

故此方法放弃。

Model2：
使用命令行配置须要更改的策略。secedit命令操做本地策略，auditpol操做高级审核策略。

auditpol语法参考： https://docs.microsoft.com/zh...

secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
AuditPol /set /subcategory:"筛选平台链接" /failure:enable /success:enable

问题1：命令中的中文字符在批处理命令运行时显示乱码，没法执行（单独执行时则成功）
解决：使用auditpol /list /subcategory:* /r命令查看对象访问和筛选平台链接的sid。

这里请自行查询并更改sid。以下图：

执行以下命令：

auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable

此时问题又来了，执行完上述命令后竟然提示参数不对？？？此时心中一万只草泥马飞过，查边论坛无果，命令也是从从微软官方示例复制过来的，如今我只怀疑这是玄学问题，不太小伙伴们能够试一下，万一呢？

问题2：很少数，直接上图

提示命令成功，执行gpupdate /force命令更新策略，打开审核筛选平台链接后显示“未配置”，这可能又是一个玄学问题吧！
解决：命令行输入secpol.msc，打开配置窗口，手动点击审核筛选平台链接进行配置。（兜兜转转最后仍是得手动勾选）

这是一个雷

当我作到这一步时，我几近崩溃。缘由容我娓娓道来，当我使用批处理命令配置完审核策略后，手动配置了审核筛选平台链接。命令行输入gpupdate /force更新策略，我觉得大功告成了，但是发生了这一幕：

我擦了擦眼，我没看花眼，大家也没看花眼。以前配置无误的审核策略全都变成了“无审核”。一遍逛论坛一边自行尝试，最终发现问题所在：

设置高级审核策略后，会覆盖本地策略

在高级策略中我只设置了筛选平台链接，其余未设置，因此最终被覆盖为未审核。

解决方法1：手动将高级策略中的所有选项勾选，这样即使本地策略被覆盖，依然会获得更详细的日志。
解决方法2：不设置高级策略。

未完待续！