記一次曲折的安全策略配置

實施要求：

1、開啟本地策略->審核策略下的所有策略（成功和失敗），如圖：

2、開啟審核篩選平臺連接，如圖：（這是一個雷，后面正文中會提到）

總結：此次實施需要接入上百臺WindowsServer服務器審核日志，沒有域，所以只能一臺臺手動配置，為增加工作效率，從而使用批處理命令完成操作。

步驟詳情：

1、 使用secedit命令進行策略設置

secedit語法參考：https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/secedit

echo [version] >1.inf
echo signature="$CHICAGO$" >>1.inf
echo [Event Audit] >>1.inf
echo AuditSystemEvents=3 >>1.inf
echo AuditObjectAccess=3 >>1.inf
echo AuditPrivilegeUse=3 >>1.inf
echo AuditPolicyChange=3 >>1.inf
echo AuditAccountManage=3 >>1.inf
echo AuditProcessTracking=3 >>1.inf
echo AuditDSAccess=3 >>1.inf
echo AuditAccountLogon=3 >>1.inf
echo AuditLogonEvents=3 >>1.inf
secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
del 1.*

執行方法：將上述命令復制黏貼到txt文本中，修改文件后綴名為.bat，以管理員身份運行（此處必須使用管理員身份運行）

注釋：上述命令中參數值為3，表示審核成功和失敗。參數值為0時，表示無審核。

這個命令執行完成后，將在當前目錄產生一個1.sdb，它是“中間產品”，你可以刪除它。
/quiet參數表示“安靜模式”，不產生日志。但也有可能會產生日志。最后del 1.*表示刪除名稱為“1”的所有文件（也就是執行上述命令式產生的文件）。

正文開始

剛才就是全部的正式內容了，下面為大家講講我整個過程中遇到的問題以及解決方法。（其實個人認為這才是真正有用的內容，經驗難得）

Model1：

剛拿到需求的時候我是想先在一臺服務器上配置好審核策略，然后使用secedit命令導出配置好的策略，然后導入其他服務器。

問題1：服務器太多，業務不同。貿然導入策略有可能會影響業務
問題2：secedit命令只能導入導出本地策略，不能對高級審核策略生效

故此方法放棄。

Model2：
使用命令行配置需要更改的策略。secedit命令操作本地策略，auditpol操作高級審核策略。

auditpol語法參考：https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/auditpol

secedit /configure /db 1.sdb /cfg 1.inf /log 1.log /quiet
AuditPol /set /subcategory:"篩選平臺連接" /failure:enable /success:enable

問題1：命令中的中文字符在批處理命令運行時顯示亂碼，無法執行（單獨執行時則成功）
解決：使用*auditpol /list /subcategory: /r命令查看對象訪問和篩選平臺連接的sid**。

這里請自行查詢并更改sid。如下圖：

執行如下命令：

auditpol /set /subcategory:{0ccee9210-69ae-11d9-bed3-505054503030},{0ccee9211-69ae-11d9-bed3-505054503030}, /failure:disable /success:enable

此時問題又來了，執行完上述命令后居然提示參數不對？？？此時心中一萬只草泥馬飛過，查邊論壇無果，命令也是從從微軟官方示例復制過來的，現在我只懷疑這是玄學問題，不過小伙伴們可以試一下，萬一呢？

問題2：不多數，直接上圖

提示命令成功，執行gpupdate /force命令更新策略，打開審核篩選平臺連接后顯示“未配置”，這可能又是一個玄學問題吧！
解決：命令行輸入secpol.msc，打開配置窗口，手動點擊審核篩選平臺連接進行配置。（兜兜轉轉最后還是得手動勾選）

這是一個雷

當我做到這一步時，我幾近崩潰。原因容我娓娓道來，當我使用批處理命令配置完審核策略后，手動配置了審核篩選平臺連接。命令行輸入gpupdate /force更新策略，我以為大功告成了，可是發生了這一幕：

我擦了擦眼，我沒看花眼，你們也沒看花眼。之前配置無誤的審核策略全都變成了“無審核”。一遍逛論壇一邊自行嘗試，最終發現問題所在：

設置高級審核策略后，會覆蓋本地策略

在高級策略中我只設置了篩選平臺連接，其他未設置，所以最終被覆蓋為未審核。

解決方法1：手動將高級策略中的全部選項勾選，這樣即便本地策略被覆蓋，依然會得到更詳細的日志。
解決方法2：不設置高級策略。

未完待續！