Was ist AuditPol in Windows 10/8/7 und wie wird es aktiviert?
Windows 10/8/7, Windows Vista, Windows Server 2008 und Windows Server 2008 R2 enthalten ein Befehlszeilenprogramm namens Audit-Richtlinienprogramm, AuditPol.exe im Ordner "System32", mit dem Sie Richtlinien-Unterkategorieeinstellungen genauer verwalten und überwachen können.
Durch das Festlegen von Überwachungsrichtlinien auf Kategorieebene wird die neue Überwachungsrichtlinienfunktion für Unterkategorien überschrieben. Ein neuer Registrierungswert, der in Windows Vista eingeführt wurde, SCENoApplyLegacyAuditPolicy, ermöglicht die Verwaltung von Prüfrichtlinien mithilfe von Unterkategorien, ohne dass eine Änderung der Gruppenrichtlinie erforderlich ist. Dieser Registrierungswert kann festgelegt werden, um die Anwendung von Überwachungsrichtlinien auf Kategorieebene aus der Gruppenrichtlinie und dem Verwaltungstool für lokale Sicherheitsrichtlinien zu verhindern.
AuditPol in Windows
Wenn Sie diese Option aktivieren möchten, öffnen Sie Lokale Sicherheitsrichtlinie> Lokale Richtlinien> Sicherheitsoptionen.
Doppelklicken Sie im rechten Fensterbereich auf Audit: Überwachungskategorieeinstellungen für Überwachungsrichtlinien erzwingen (Windows Vista oder höher), um die Einstellungen für Überwachungsrichtlinienkategorien zu überschreiben. Wählen Sie Aktiviert> Anwenden / OK.
AuditPol verfügt über mehrere Schalter, mit denen Sie Einstellungen anzeigen, einstellen, löschen, sichern und wiederherstellen können.
Insbesondere kann es verwendet werden:
- Festlegen und Abfragen einer Systemüberwachungsrichtlinie.
- Festlegen und Abfragen einer Überwachungsrichtlinie für jeden Benutzer.
- Festlegen und Abfragen von Überwachungsoptionen.
- Festlegen und Abfragen der Sicherheitsbeschreibung, die zum Delegieren des Zugriffs auf eine Überwachungsrichtlinie verwendet wird.
- Berichten oder sichern Sie eine Überwachungsrichtlinie in einer Textdatei mit durch Kommas getrennten Werten (CSV).
- Laden Sie eine Überwachungsrichtlinie aus einer CSV-Textdatei.
- Konfigurieren Sie globale Ressourcen-SACLs.
Wenn Sie als Administrator eine Eingabeaufforderung öffnen, können Sie AuditPol verwenden, um die definierten Überwachungseinstellungen anzuzeigen, indem Sie Folgendes ausführen:
auditpol / get / category: *
Hierbei ist zu beachten, dass beim Anzeigen von Überwachungsrichtlinieneinstellungen mit AuditPol und der lokalen Sicherheitsrichtlinie viz secpol.msc die Einstellungen möglicherweise andere Ergebnisse zeigen. KB2573113 erklärt den Grund dafür:
Weitere Informationen finden Sie auf AuditPol im TechNet.AuditPol ruft direkt Berechtigungs-APIs auf, um die Änderungen der detaillierten Überwachungsrichtlinie zu implementieren. Secpol.msc manipuliert das lokale Gruppenrichtlinienobjekt, wodurch die Änderungen in geschrieben werden system32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit \ Audit.csv. Die in der CSV-Datei gespeicherten Einstellungen werden zum Zeitpunkt der Änderung nicht direkt auf das System angewendet, sondern in die Datei geschrieben und später von der clientseitigen Erweiterung (CSE) gelesen. Beim nächsten Gruppenrichtlinien-Aktualisierungszyklus wendet die CSE die in der CSV-Datei vorhandenen Änderungen an. Secpol.msc zeigt an, was im lokalen Gruppenrichtlinienobjekt festgelegt ist. In secpol.msc gibt es keine "effektive Einstellungen" - Ansicht, in der die detaillierten AuditPol-Einstellungen und die lokal definierten Einstellungen zusammen mit secpol.msc zusammengeführt werden.