Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

La stratégie d'audit avancée ne s'applique pas sur 2012 R2

ayi

J’ai configuré plusieurs paramètres de stratégie d’audit avancée sous :
<pre><code class="lang-auto">Computer Configuration => Policies => Windows Settings => Security Settings =>
Advanced Audit policy Configuration => Audit Policies => ...

</code></pre>
De plus, le paramètre suivant est défini sur “Activé” :
<pre><code class="lang-auto">Computer Configuration => Policies => Windows Settings => Security Settings =>
Local Policies => Security Options => Audit: Force audit policy subcategory settings
(Windows Vista or later) to override audit policy category settings.

</code></pre>
Cependant, aucun des paramètres d’audit avancé ne s’applique. L’exécution de
<pre><code class="lang-auto">auditpol /get /category:*

</code></pre>
montre toutes les options définies sur “Aucun audit”. De plus, aucune des stratégies d’audit obsolètes n’est définie.
Ce qui me surprend, c’est que ni gpresult ni rsop.msc n’affichent la catégorie “Stratégie d’audit avancée”. Qu’est-ce que je fais de mal ici ? Je suis à court d’idées. Merci d’avance pour vos contributions !
[1er Addendum]
<ul>
<li></li>
</ul>
D’autres paramètres configurés dans le même objet de stratégie de groupe s’appliquent. Les pièges courants peuvent donc être écartés.
<ul>
<li></li>
</ul>
Le GPO d’origine contient des paramètres MSS.
<ul>
<li></li>
</ul>
Créer un nouveau GPO vide et ne configurer que les éléments d’audit avancé les fait apparaître sur le serveur cible (vérifié avec auditpol). Il doit donc y avoir quelque chose qui ne va pas avec le GPO lui-même.
[2e Addendum]
<ul>
<li>Comparer les deux fichiers {GUID}\Machine\Microsoft\Windows NT\Audit\Audit.csv révèle la différence suivante. Notez la double occurrence de “audit”.</li>
</ul>
Version non fonctionnelle de audit.csv :
<pre><code class="lang-auto">,System,Audit Policy Change,{0CCE922F-69AE-11D9-BED3-505054503030},Success and Failure,,3

</code></pre>
Version fonctionnelle de audit.csv :
<pre><code class="lang-auto">,System,Audit Audit Policy Change,{0cce922f-69ae-11d9-bed3-505054503030},Success and Failure,,3

</code></pre>
Que se passe-t-il ici ? Y a-t-il des raisons impérieuses de ne pas modifier ce fichier manuellement ?

ayi_2

Je réalise que c’est une question plus ancienne, et que vous avez résolu le problème d’une autre manière, cependant, la raison pour laquelle cela ne fonctionnait pas à l’origine était due à l’activation de “Audit : Forcer les paramètres de sous-catégorie de stratégie d’audit”. Comme expliqué dans <a href="http://blogs.technet.com/b/askds/archive/2011/03/11/getting-the-effective-audit-policy-in-windows-7-and-2008-r2.aspx">cet article sur Technet</a> :
<blockquote></blockquote>
L’absence d’audit d’accès aux objets est attendue : dès que vous commencez à appliquer la configuration de stratégie d’audit avancée, les stratégies héritées seront complètement ignorées. Le seul moyen de faire utiliser la stratégie héritée à un ordinateur Win7/R2 est de définir la stratégie de sécurité “Audit : Forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou ultérieur) pour remplacer les paramètres de catégorie de stratégie d’audit” sur DÉSACTIVÉ. Cela désactive l’utilisation du nouveau type de stratégie. Ensuite, vous devez effacer la stratégie avancée existante des machines (auditpol.pol /clear, avoir un fichier audit.csv vide, etc.). Le système n’est pas optimal, mais l’intention n’a jamais été que vous reveniez en arrière.