進階稽核原則設定優先順序

Tenable Identity Exposure 為啟用必要的事件記錄而建立的群組原則物件 (GPO) 連結至已啟用「強制執行」模式的組織單位 (OU) 網域控制器。

這為 GPO 提供了高優先順序,但在更高層級 (例如網域或據點) 設定的強制 GPO 優先於它。

如果定義「進階稽核原則設定」設定的高優先等級 GPO 與 Tenable Identity Exposure 的需求相衝突,將以該 GPO 為準,並且 Tenable Identity Exposure 會遺漏攻擊偵測所需的事件。

由於 Windows 會合併 GPO 定義的「進階稽核原則設定」設定,因此不同的 GPO 可定義不同的設定。

但是,在每個設定層級,它僅使用優先順序較高的 GPO 定義值。例如,Tenable Identity Exposure 需要「稽核憑證驗證」設定的「成功」與「失敗」值。但是,如果高優先等級 GPO 僅為「稽核憑證驗證」定義了「成功」,則 Windows 將只收集「成功」事件,而 Tenable Identity Exposure 會遺漏所需的「失敗」事件。

如要檢查 GPO 優先順序:

  1. 在命令列介面中,在網域控制器上執行下列命令。

    它會在考量所有 GPO 和優先順序後,輸出有效的「進階稽核原則設定」。

    複製
    auditpol.exe /get /category:*
  2. 比較輸出結果與 Tenable Identity Exposure 進階稽核原則需求。針對 Tenable Identity Exposure 要求的每個設定,檢查有效的原則是否也涵蓋此設定。

    • 如果有效原則更詳盡,例如 Tenable Identity Exposure 需要「成功」或「失敗」,而設定為「成功與失敗」,則這不是問題。

    • 如果有效原則不足,則表示優先順序較高的 GPO 定義了有衝突的設定。

如要修正 GPO 優先順序:

  1. 在定義「進階稽核原則設定」的「強制」模式下,搜尋連結至更高層級 (網域或據點) 的 GPO。

  2. 在命令列介面中,在網域控制器上執行下列命令,以準確顯示優先的 GPO:

    複製
    gpresult /scope:computer /h gpo.html
  1. 修改 GPO 中對應的「進階稽核原則設定」設定,以符合 Tenable Identity Exposure 的最低要求。例如:

    • 如果 Tenable Identity Exposure 要求「成功」,而優先順序較高的 GPO 定義了「失敗」,則將設定修改為「成功與失敗」。

    • 如果 Tenable Identity Exposure 要求「成功與失敗」,而優先順序較高的 GPO 定義了「成功」,則將設定修改為「成功與失敗」。

  1. 修改設定後,您可以等待套用更新後的 GPO,也可以使用 gpupdate 命令強制執行。

  2. 重複程序 如要檢查 GPO 優先順序: 以檢查新的有效原則。