اطمینان از تنظیم Audit: Force Audit policy subcategory settings (Windows Vista or later) to override Audit policy category settings روی Enabled (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting به administrator ها اجازه میدهد تا دقیقتر قابلیتهایAuditing بیشتری را که در ویندوز ویستا موجود است فعال کنند.
Audit Policy settings موجود در Windows Active 2003 Active Directory هنوز حاوی تنظیماتی برای مدیریت زیرشاخههای جدید Auditing نیست.
برای اینکه Auditing policies را همانطور که در این مطلب توضیح دادیم به درستی Apply کنید: تنظیمات زیر مجموعه Audit policy را force کنید (ویندوز ویستا یا بعد از آن) برای باطل کردن Audit policy category settings، تنظیمات باید روی Enabled پیکر بندی شوند.
حالت پیشنهادی برای این setting: Enabled است.
نکته مهم: در مورد Audit settings که میتواند حجم زیادی از ترافیک ایجاد کند، بسیار محتاط باشید. به عنوان مثال، اگر در Auditing، success یا failure را برای همه زیر مجموعههای Privilege Use فعال کنید، حجم بالای رویدادهای حسابرسی (Audit events) ایجاد شده میتواند یافتن انواع دیگر ورودیها را در Security log دشوار کند.
چنین پیکربندی همچنین میتواند تأثیر بسزایی در performance سیستم داشته باشد.
Rationale
قبل از معرفی زیر شاخههای حسابرسی (Auditing subcategories) در ویندوز ویستا، پیگیری event ها در سطح هر سیستم یا هر کاربر دشوار بود.event category های بزرگ، رویدادهای زیادی ایجاد میکردند و یافتن اطلاعات کلیدی لازم برای رسیدگی کردن آنها دشوار بود.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa:SCENoApplyLegacyAuditPolicy
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Enabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Audit: Force Audit policy subcategory settings (Windows Vista or later) to override Audit policy category settings
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
Enabled. (تنظیمات پیکربندی Audit Policy پیشرفته برای پیکربندی Auditing مورد استفاده قرار میگیرد و تنظیمات پیکربندی legacy Audit Policy نادیده گرفته میشود.)
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
