Windows 10/8/7 및 Windows Server에는 감사 정책 프로그램이라는 명령줄 도구가 포함되어 있습니다. , 보다 정확한 방법으로 정책 하위 범주 설정을 관리하고 감사할 수 있는 System32 폴더에 있는 AuditPol.exe.
범주 수준에서 감사 정책을 설정하면 새 하위 범주 감사 정책 기능이 무시됩니다. Windows Vista에 도입된 새 레지스트리 값, SCENoApplyLegacyAuditPolicy , 그룹 정책을 변경할 필요 없이 하위 범주를 사용하여 감사 정책을 관리할 수 있습니다. 이 레지스트리 값은 그룹 정책 및 로컬 보안 정책 관리 도구에서 범주 수준 감사 정책의 적용을 방지하도록 설정할 수 있습니다.
Windows10의 AuditPol
이 옵션을 활성화하려면 로컬 보안 정책> 로컬 정책> 보안 옵션을 여십시오.
이제 오른쪽 패널에서 감사:강제 감사 정책 하위 범주 설정(Windows Vista 이상)을 두 번 클릭하여 감사 정책 범주 설정을 무시합니다. 사용> 적용/확인을 선택합니다.
감사 폴 에는 설정을 표시, 설정, 지우기, 백업 및 복원할 수 있는 여러 스위치가 있습니다.
특히 다음과 같은 용도로 사용할 수 있습니다.
- 시스템 감사 정책을 설정하고 쿼리합니다.
- 사용자별 감사 정책을 설정하고 쿼리합니다.
- 감사 옵션을 설정하고 쿼리합니다.
- 감사 정책에 대한 액세스 권한을 위임하는 데 사용되는 보안 설명자를 설정하고 쿼리합니다.
- 쉼표로 구분된 값(CSV) 텍스트 파일에 감사 정책을 보고하거나 백업합니다.
- CSV 텍스트 파일에서 감사 정책을 로드합니다.
- 전역 리소스 SACL을 구성합니다.
관리자로 명령 프롬프트를 열면 다음을 실행하여 AuditPol을 사용하여 정의된 감사 설정을 볼 수 있습니다.
auditpol /get /category:*
주의해야 할 점은 AuditPol 및 로컬 보안 정책 즉 secpol.msc를 사용하여 감사 정책 설정을 보는 동안 설정이 다른 결과를 표시할 수 있다는 것입니다. KB2573113은 이에 대한 이유를 설명합니다.
AuditPol은 권한 부여 API를 직접 호출하여 세부적인 감사 정책에 대한 변경 사항을 구현합니다. Secpol.msc는 로컬 그룹 정책 개체를 조작하여 system32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\Audit.csv에 변경 사항을 기록합니다. . .csv 파일에 저장된 설정은 수정 시 시스템에 직접 적용되지 않고 대신 파일에 기록되고 나중에 CSE(클라이언트 측 확장)에서 읽습니다. 다음 그룹 정책 새로 고침 주기에서 CSE는 .csv 파일에 있는 수정 사항을 적용합니다. Secpol.msc는 로컬 GPO에 설정된 내용을 표시합니다. secpol.msc에는 세분화된 AuditPol 설정과 secpol.msc에서 볼 수 있는 것처럼 로컬로 정의된 항목을 병합하는 "효과적인 설정" 보기가 없습니다.
자세한 내용은 TechNet의 AuditPol을 방문하십시오.