Хотите узнать, как настроить групповую политику, чтобы провести аудит командной строки? В этом учебнике мы покажем вам, как настроить зрителя событий для регистрации команд из командной строки с помощью GPO.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7

Список оборудования

В следующем разделе представлен список оборудования, используемого для создания этого учебника.

Как Amazon Associate, я зарабатываю от квалификационных покупок.

Windows Связанные Учебник:

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.

Учебник GPO — Аудит командной строки

На контроллере домена откройте инструмент управления групповой политикой.

Создание новой групповой политики.

Введите имя для новой политики группы.

Windows - Add GPO

В нашем примере, новый GPO был назван: MY-GPO.

На экране управления групповой политикой расширьте папку под названием «Объекты групповой политики».

Нажмите правой кнопкой мыши на новый объект групповой политики и выберите опцию редактирования.

Windows - Edit GPO

На экране редактора групповой политики расширьте папку конфигурации компьютера и найдите следующий элемент.

Copy to Clipboard

Доступ к папке под названием Подробное отслеживание.

GPO - Audit commands DOS

Редактировать элемент конфигурации под названием Логотип аудита.

Включить возможность аудита успешного создания процесса.

GPO - Audit DOS command-line

На экране редактора групповой политики расширьте папку конфигурации компьютера и найдите следующий элемент.

Copy to Clipboard

Доступ к папке под названием Аудит создания процесса.

GPO - Command-line audit event viewer

Включите названный элемент конфигурации: Включите командную строку в события создания процесса.

GPO - Audit command-line

Чтобы сохранить конфигурацию групповой политики, необходимо закрыть редактор групповой политики.

Поздравляю! Вы закончили создание GPO.

Учебник GPO — Аудит команд из командной строки

На экране управления политикой Группы необходимо правильно нажать на желаемую Организационную группу и выбрать возможность связать существующий GPO.

В нашем примере мы собираемся связать групповую политику под названием MY-GPO с корнем домена.

GPO- tutorial linking

После применения GPO вам нужно подождать 10 или 20 минут.

В течение этого времени GPO будет реплицироваться на другие контроллеры доменов.

На удаленном компьютере запустите повышенную командную линию Powershell.

Windows 10 - powershell elevated

Проинституйте расширенные параметры политики аудита безопасности logon.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Перечислите последние 10 записей журнала.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Используйте командную строку для выполнения любой задачи.

Copy to Clipboard

Получить подробную информацию из последней команды с помощью просмотра событий.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Список успешных логотипов attemps.

Copy to Clipboard

В нашем примере мы включили аудит команд из командной строки с помощью GPO.