高级审核策略配置优先级
Tenable Identity Exposure 为启用所需事件日志记录而创建的组策略对象 (GPO) 链接到启用了强制模式的组织单元 (OU) 域控制器。
这为 GPO 提供了高优先级,但在更高级别(如域或站点)配置的强制 GPO 的优先级更高。
如果定义高级审核策略配置设置的较高优先级 GPO 与 Tenable Identity Exposure 的需求冲突,则 GPO 优先且 Tenable Identity Exposure 会错过攻击检测所需的事件。
由于 Windows 会合并 GPO 定义的高级审核策略配置设置,因此不同的 GPO 可定义不同的设置。
但是,在每个设置级别,它仅使用具有更高优先级的 GPO 定义的值。例如,Tenable Identity Exposure 需要“审核凭据验证”设置具有“Success and Failure”值。但是,如果具有更高优先级的 GPO 仅为审核凭据验证定义“Success”,则 Windows 仅会收集“Success”事件,而 Tenable Identity Exposure 会错过所需的“Failure”事件。
若要检查 GPO 优先级,请执行以下操作:
-
在命令行界面中,在域控制器上运行以下命令。
它会在考虑所有 GPO 和优先级之后输出有效的高级审核策略配置。
复制auditpol.exe /get /category:* -
将输出与 Tenable Identity Exposure 高级审核策略要求进行比较。对于 Tenable Identity Exposure 需要的每项设置,请检查有效策略是否也涵盖该设置。
-
如果有效策略更详尽,则不是问题,例如当 Tenable Identity Exposure 需要“Success”或“Failure”,而设置为“Success and Failure”时。
-
如果有效策略不充分,则表示优先级较高的 GPO 定义了冲突的设置。
-
若要修复 GPO 优先级:
-
在定义高级审核策略配置的“强制”模式下查找链接到更高级别(域或站点)的 GPO。
-
在命令行界面中,在域控制器上运行以下命令,以准确找到成功的 GPO:
复制gpresult /scope:computer /h gpo.html
-
修改 GPO 中相应的高级审核策略配置设置,以满足 Tenable Identity Exposure 的最低要求。例如:
-
如果 Tenable Identity Exposure 需要“Success”,而更高优先级的 GPO 定义为“Failure”,则将设置修改为“Success and failure”。
-
如果 Tenable Identity Exposure 需要“Success and Failure”,而更高优先级的 GPO 定义为“Success”,则将设置修改为“Success and Failure”。
-
-
修改设置后,您可以等待更新后的 GPO 应用或使用 gpupdate 命令强制执行。
-
重复“若要检查 GPO 优先级,请执行以下操作:”流程以检查新的有效策略。