Microsoft windows security auditing как отключить

• Remove From My Forums

• Question

• Hi, I want to permanently disable Auditing or logging in Windows 10, I ran the following commands in Command Prompt but after rebooting the system, I see the logs in Event Viewer!

  Auditpol /remove /allusers
  auditpol /clear
  auditpol /clear /y
  auditpol /ipaddress /disable
  Auditpol /set /category:"Account Logon" /Success:disable /failure:disable
  Auditpol /set /category:"Logon/Logoff" /Success:disable /failure:disable
  Auditpol /set /category:"Account Management" /Success:disable /failure:disable
  Auditpol /set /category:"DS Access" /Success:disable /failure:disable
  Auditpol /set /category:"Object Access" /Success:disable /failure:disable
  Auditpol /set /category:"policy change" /Success:disable /failure:disable
  Auditpol /set /category:"Privilege use" /Success:disable /failure:disable
  Auditpol /set /category:"System" /Success:disable /failure:disable

  Please help me.

  Thanks

  • Edited by

    Friday, November 30, 2018 4:31 PM

• Remove From My Forums

• Question

• Hi, I want to permanently disable Auditing or logging in Windows 10, I ran the following commands in Command Prompt but after rebooting the system, I see the logs in Event Viewer!

  Auditpol /remove /allusers
  auditpol /clear
  auditpol /clear /y
  auditpol /ipaddress /disable
  Auditpol /set /category:"Account Logon" /Success:disable /failure:disable
  Auditpol /set /category:"Logon/Logoff" /Success:disable /failure:disable
  Auditpol /set /category:"Account Management" /Success:disable /failure:disable
  Auditpol /set /category:"DS Access" /Success:disable /failure:disable
  Auditpol /set /category:"Object Access" /Success:disable /failure:disable
  Auditpol /set /category:"policy change" /Success:disable /failure:disable
  Auditpol /set /category:"Privilege use" /Success:disable /failure:disable
  Auditpol /set /category:"System" /Success:disable /failure:disable

  Please help me.

  Thanks

  • Edited by

    Friday, November 30, 2018 4:31 PM

Не так давно мне нужно было отловить некоторые хитрые события связанные с аутентификацией на домен-контроллерах. Для решения этой задачи пришлось включить с помощью групповых политик так называемый расширенный аудит, который появился в Windows Server 2008 R2 и Windows 7. Можно настроить 53 события аудита! Есть где разгуляться!

Эти события пишутся в отдельный журнал Microsoft-Windows-Audit; при этом журнал Security больше не пополняется новыми событиями аудита – прежняя система аудита отключается полностью.

Когда мое исследование было завершено, я выставил параметры расширенного аудита в групповой политике в «Not configured». К моему удивлению после применения политик к домен-контроллерам в журнал Security события аудита не начали поступать – классическая система аудита не включилась. Загадка!

В библиотеке Technet была найдена статья, которая ясно описывала шаги по отключению расширенного аудита:

1.Set all Advanced Audit Policy sub-categories to Not configured.

2.Delete all audit.csv files from the %SYSVOL% folder on the domain controller.

3.Reconfigure and apply the basic audit policy settings.

И так первый шаг мной уже сделан. Удалил файл audit.csv и обновил политики на домен-контроллерах. Не помогло!

Поискал файл audit.csv локально на домен-контроллере и нашел в двух местах C:WindowsSystem32GroupPolicy и C:Windowssecurityaudit. Обновил политики – не помогло. Чудеса!

Ключевым оказалось слово Reconfigure из третьего пункта: каждую настройку классического аудита в групповой политике надо выключить, сохранить, включить заново и опять сохранить. Затем применить обновленную политику. (Может достаточно передернуть одну настройку аудита, чтобы раздел GPO обновился и применился?)

Сразу после этого в журнал Security на домен-контроллерах полетели события.

Не зря сказано: слово из песни не выбросишь!

Полезные ссылки:

1. Advanced Security Audit Policy Step-by-Step Guide

2. Advanced Security Auditing in Windows 7 and Windows Server 2008 R2

3. Getting the Effective Audit Policy in Windows 7 and 2008 R2

4. Advanced Security Auditing FAQ

Filed under: Active Directory, Windows | Tagged: Active Directory, Audit, Group Policy |

• Remove From My Forums

• Question

• Since
  I replaced my faulty motherboard and reinstall windows 10 home edition,
  am getting annoying sound from the windows security auditing. Its very annoying having to listen to the sound every few seconds. Have not happened to me before. This log has grown very huge.

  Please help.

  Thanks

  Details below copied from event viewer

  Audit Success    25-Aug-19 02:06:14 PM    Microsoft Windows security auditing.    4798    User Account Management
  Audit Success    25-Aug-19 02:06:08 PM    Microsoft Windows security auditing.    4672    Special Logon
  Audit Success    25-Aug-19 02:06:08 PM    Microsoft Windows security auditing.    4624    Logon
  Audit Success    25-Aug-19 02:05:36 PM    Microsoft Windows security auditing.    4798    User Account Management
  Audit Success    25-Aug-19 02:05:19 PM    Microsoft Windows security auditing.    4798    User Account Management
  Audit Success    25-Aug-19 02:05:10 PM    Microsoft Windows security auditing.    4798    User Account Management
  Audit Success    25-Aug-19 02:04:55 PM    Microsoft Windows security auditing.    4798    User Account Management
  Audit Success    25-Aug-19 02:04:47 PM    Microsoft Windows security auditing.    4798    User Account Management
  Audit Success    25-Aug-19 02:03:08 PM    Microsoft Windows security auditing.    4798    User Account Management
  Audit Success    25-Aug-19 02:02:47 PM    Microsoft Windows security auditing.    4798    User Account Management
  Audit Success    25-Aug-19 02:02:42 PM    Microsoft Windows security auditing.    4798    User Account Management

Сводка