Windows服务器开启全部审计与设置审计保存空间

前言

Windows Server logo

最近客户又出了安全事故，一些服务器上一些数据文件莫名丢失。说实话，做了这么多年运维，每次出事故都是这样，平时不重视，出了问题就开始各种要求。

今天就跟大家聊聊Windows Server安全加固中的审计配置，这个话题可能有点枯燥，但真的很重要。我记得去年有个朋友的公司被黑了，事后调查发现连基本的登录审计都没开，想查都查不到什么有用信息，最后只能重装系统了事。

基础审计策略配置

Windows Server的审计策略分为两个层面：本地安全策略和组策略。对于单台服务器，我们可以通过本地安全策略来配置；如果是域环境，建议通过组策略统一管理。

打开本地安全策略的方法很简单，运行secpol.msc就行了。在安全设置下面有个本地策略，里面就是审计策略。不过这里有个坑，Windows Server 2008以后的版本，微软把审计策略分成了基本审计和高级审计两套体系。

基本审计策略比较粗糙，只有9个大类：

• • 审计账户登录事件
• • 审计账户管理
• • 审计目录服务访问
• • 审计登录事件
• • 审计对象访问
• • 审计策略更改
• • 审计特权使用
• • 审计进程跟踪
• • 审计系统事件

这些看起来挺全面，但实际使用中你会发现粒度太粗了。比如说账户管理，它包括了用户创建、删除、密码修改等等操作，你没法单独控制某一种操作的审计。

开启审计功能

第一步：在运行或者CMD中输入gpedit.msc

image-20251109190839548

image-20251109190839548

第二步：在组策略中定位到日志策略

image-20251109191136204

image-20251109191136204

第三步：开启全部审计日志

image-20251109191259728

image-20251109191259728

image-20251109192227573

image-20251109192227573

开启审计功能结束

配置审计空间

第一步：在运行/CMD窗口中输入compmgmt.msc打开计算机管理

第二步：如图打开属性界面（理论上应用/系统和安全模块都需要配置，这里以安全为例子）

image-20251109192426551

image-20251109192426551

第三步：配置空间大小，根据C盘来，可以先配置1GB。

image-20251109192519291