none
Настройка в политике аудита домена логирование командной строки RRS feed

  • Вопрос

  • Добрый день.

    Имеется следующая виртуальная машина:

    OS Name:                   Microsoft Windows Server 2012 Datacenter

    OS Version:                6.2.9200 N/A Build 9200

    OS Manufacturer:           Microsoft Corporation

    OS Configuration:          Additional/Backup Domain Controller

    OS Build Type:             Multiprocessor Free

    Original Install Date:     29.11.2017, 9:40:26

    System Manufacturer:       VMware, Inc.

    System Model:              VMware Virtual Platform

    System Type:               x64-based PC

    На данном сервере в политике аудита домена мы хотим получать события по логированию командной строки.

    Для этого необходимо включить следующий параметр:

    В параметрах групповой\локальной политики (Computer Configuration -> Policies -> Administrative Templates -> System -> Audit Process Creation) включить параметрInclude command line in process creation events”

    Примечание: для того, чтобы настройки появились в Windows2008\7\Vista, необходимо установить следующие патчи на все хосты, на которых будет включаться аудит:
    • Windows6.1-KB3004375-v3-x86.msu
    • Windows6.1-KB3004375-v3-x64.msu

    Данные патчи установлены, но параметр Include command line in process creation events у нас так и не появляется


    Аналогичная ситуация на Windows Cerver 2008, на них так же нет параметра логирования коммандной строки.

    Так же, не исключено, что все это происходит из-за того, что уровень леса был поднят с 2003 (а до этого, с 2000), как известно не весь функционал леса 2008 возможен при обновлении уровня леса. Так же, возможно требуется уровень 2008r2/2012 или более высоких (2012 R2, 2016 или 2019). Либо банально не хватает в оснастке  adm/admx/adml файлов –но нам сложно стоить предположения.

    KB3004375-v3 скачивались отсюда, затем сервер перезагружался, но положительного результата мы не видим + выходит ошибка 

     

    24 сентября 2020 г. 10:53

Ответы

  • Добрый день.

    Мы добавили AuditSettings.admx в соответствующую дерикторию на DC и параметр "аудита командной строки" появился!

    Всем большое спасибо, вопрос решен!

    • Помечено в качестве ответа Vector BCOModerator 29 сентября 2020 г. 8:47
    29 сентября 2020 г. 7:23

Все ответы