采用一个小脚本将auditpol的用法输入到文本中,进而方便日后的查阅..
脚本如下:
@echo off
auditpol /? > C:\Users\oking\Desktop\auditpol.txt
echo. >> C:\Users\oking\Desktop\auditpol.txt
auditpol /get /? >> C:\Users\oking\Desktop\auditpol.txt
echo. >> C:\Users\oking\Desktop\auditpol.txt
auditpol /set /? >> C:\Users\oking\Desktop\auditpol.txt
echo. >> C:\Users\oking\Desktop\auditpol.txt
auditpol /list /? >> C:\Users\oking\Desktop\auditpol.txt
echo. >> C:\Users\oking\Desktop\auditpol.txt
auditpol /backup /? >> C:\Users\oking\Desktop\auditpol.txt
echo. >> C:\Users\oking\Desktop\auditpol.txt
auditpol /restore /? >> C:\Users\oking\Desktop\auditpol.txt
echo. >> C:\Users\oking\Desktop\auditpol.txt
auditpol /clear /? >> C:\Users\oking\Desktop\auditpol.txt
echo. >> C:\Users\oking\Desktop\auditpol.txt
auditpol /remove /? >> C:\Users\oking\Desktop\auditpol.txt
echo. >> C:\Users\oking\Desktop\auditpol.txt
auditpol /resourceSACL /? >> C:\Users\oking\Desktop\auditpol.txt
echo. >> C:\Users\oking\Desktop\auditpol.txt
echo “the use of ‘audiupol’ have been output in file,and have a nice day”&pause>nul
然后下面是auditpol的用法:
用法: AuditPol command []
命令 (每次执行仅允许一个命令)
/? 帮助(与上下文相关)
/get 显示当前审核策略。
/set 设置审核策略。
/list 显示可选择的策略元素。
/backup 将审核策略保存到文件。
/restore 将审核策略从文件还原。
/clear 清除审核策略。
/remove 删除用户帐户的每用户审核策略。
/resourceSACL 配置全局资源 SACL
有关每个命令的详细信息,请使用 AuditPol /?
用法: AuditPol /get [/user[:|<{sid}>]]
[/category:*||<{guid}>[,:|<{guid}>…]]
[/subcategory:|<{guid}>[,:|<{guid}>…]]
[/option:]
[/sd]
[/r]
此命令显示当前审核策略。
命令
/? 帮助(与上下文相关)
/user 为其查询每用户审核策略的安全主体。
必须指定 /category 或 /subcategory 选项。
可以将用户指定为 SID 或名称。如果未指定
用户帐户,则查询系统审核
策略。
/category GUID 或名称指定的一个或多个审核类别。
可以使用星号(“*”)表示应该查询所有
审核类别。
/subcategory GUID 或名称指定的一个或多个
审核子类别。
/sd 检索用于将访问委派到审核策略的
安全描述符。
/option 检索 CrashOnAuditFail、
FullPrivilegeAuditing、AuditBaseObjects 或
AuditBaseDirectories 的现有策略。
/r 以报告(CSV)格式显示输出。
示例用法:
auditpol /get /user:domain\user /Category:”Detailed Tracking”,”Object Access”
auditpol /get /Subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /r
auditpol /get /option:CrashOnAuditFail
auditpol /get /user:{S-1-5-21-397123417-1234567} /Category:”System”
auditpol /get /sd
用法: AuditPol /set
[/user[:|<{sid}>][/include][/exclude]]
[/category:|<{guid}>[,:|<{guid}>…]]
[/success:|][/failure:|]
[/subcategory:|<{guid}>[,:|<{guid}>…]]
[/success:|][/failure:|]
[/option:/value:|]
此命令设置当前审核策略。
命令
/? 帮助(与上下文相关)
/user 为其设置类别/子类别指
定的每用户审核策略的安全主体。必
须指定类别或子类别选项,作为 SID
或名称。
/include 与 /user 一起指定;表示用户的
每用户策略将导致生成审核,即
使不由系统审核策略指定。此设置
是默认设置,如果未显式指定
/include 或 /exclude
选项,则自动应用此设置。
/exclude 与 /user 一起指定;表示无论系
统审核策略如何,用户的每用户策
略将导致审核被取消。属于 Administrators
本地组成员的用户不推荐此设置。
/category GUID 或名称指定的一个或多个审核类别。
如果未指定用户,则设置系统策略。
/subcategory GUID 或名称指定的一个或多个审核子类别。
如果未指定用户,则设置系统策略。
/success 指定成功审核。此设置是默认设置,如果
未显示指定 /success 或 /failure 选
项,则自动应用此设置。此设置必须与
表明是启用还是禁用设置
的参数共同使用。
/failure 指定失败审核。此设置必须与 enable 或 disable 参数一起
使用,指定启用或禁用设置。
/option 设置 CrashOnAuditFail、FullPrivilegeAuditing、
AuditBaseObjects 或 AuditBaseDirectories 的
审核策略。
/sd 设置用于将访问委派到审核策略的安全
描述符。必须使用 SDDL 指定安全描述
符。安全描述符必须
具有 DACL。
示例:
auditpol /set /user:domain\user /Category:”System” /success:enable /include
auditpol /set /subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /failure:disable
auditpol /set /option:CrashOnAuditFail /value:enable
auditpol /set /sd:D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY)
命令成功执行。
用法: AuditPol /list
[/user|/category|/subcategory[:|<{guid}>|*]
[/v] [/r]
此命令列出审核策略类别、子类别,或列出为其定义
每用户审核策略的用户。
命令
/? 帮助(与上下文相关)
/user 检索为其定义每用户审核策略的所有用户。
如果与 /v 选项共同使用,则同时显示用
户的 SID。
/category 显示系统理解的类别的名称。
如果与 /v 选项共同使用,则
同时显示类别 GUID。
/subcategory 显示系统理解的子类别名称,
用于指定类别中的子类别。
如果使用 /v 选项,则同时
显示子类别 GUID。
示例:
auditpol /list /user
auditpol /list /category /v
auditpol /list /subcategory:”Detailed Tracking”,”Object Access”
用法: AuditPol /backup /file:
此命令将系统审核策略设置、所有用户的每用户审核策略设置
和所有审核选项备份到一个文件。备份将写入到
CSV 格式的文本文件。
选项
/? 帮助(与上下文相关)。
/file 指定审核策略将备份到的文件的名称。
示例:
auditpol /backup /file:c:\auditpolicy.csv
命令成功执行。
用法: AuditPol /restore /file:
此命令将从使用 /backup 命令创建的文件中还原
系统审核策略设置、所有用户的每用户审核策略
设置和所有审核选项。
选项
/? 帮助(与上下文相关)。
/file 指定应从其读取审核策略的文件。
文件必须已经由 /backup 选项创建,
或必须与该文件格式语法一致。
示例:
auditpol /restore /file:c:\auditpolicy.csv
命令成功执行。
用法: AuditPol /clear [/y]
此命令删除所有用户的每用户审核策略,重置
所有子类别的系统审核策略,并将所有审核选项设置为禁用。
选项
/? 帮助(与上下文相关)。
/y 取消确认是否应清除
所有审核策略的提示。
示例:
auditpol /clear
auditpol /clear /y
命令成功执行。
用法: AuditPol /remove [/user[:|<{sid}>]]
[/allusers]
此命令删除指定帐户的每用户审核策略。
选项
/? 帮助(与上下文相关)。
/user 指定要为其删除每用户审核策略
的用户的 SID 或用户名
/allusers 删除所有用户的每用户审核策略。
示例:
auditpol /remove /user:{S-1-5-21-397123417-1234567}
auditpol /remove /allusers
命令成功执行。
用法: AuditPol /resourceSACL
[/set /type: [/success] [/failure] /user:
[/access:]]
[/remove /type: /user: [/type:]]
[/clear [/type:]]
[/view [/user:] [/type:]]
此命令为全局对象访问审核配置设置。
需要为系统生成的事件启用
对应的对象访问子类别。请键入 auditpol /set /? 获取详细信息。
命令
/? 显示此命令的帮助。
/set 在资源系统访问控制列表中
为指定的资源类型
添加新条目或更新现有条目。
/remove 删除全局对象访问审核列表中
给定用户的所有条目。如果未指定类型,
将删除该用户的所有条目。
/clear 删除全局对象访问审核列表的
所有条目。
如果忽略了该类型,将删除所有条目。
/view 在资源系统访问控制列表中列出
按给定用户和资源类型筛选的
全局对象访问审核条目。
用户和资源类型是可选的。
参数
/type 正在从其中配置对象访问审核
的资源。
受支持的资源值是 File 和 Key。
File: 目录和文件。
Key: 注册表项。
/success 指定成功审核。
/failure 指定失败审核。
/user 可以使用下列形式之一指定用户:
DomainName\Account (如 DOM\Administrators)
StandaloneServer\Group
Account (参见 LookupAccountName API)
{S-1-x-x-x-x}。x 以十进制表示,且整个
SID 必须放在大括号中。
例如: {S-1-5-21-5624481-130208933-164394174-1001}
警告: 如果使用了 SID 形式,则不执行任何检查来验证
此帐户的存在。
/access 指定可用以下两种形式之一
指定的权限掩码:
- 简单权限序列:
一般访问权限:
GA - 一般完全权限
GR - 一般读取权限
GW - 一般写入权限
GX - 一般执行权限
文件访问权限:
FA - 文件完全访问权限
FR - 文件一般读取权限
FW - 文件一般写入权限
FX - 文件一般执行权限
注册表项访问权限:
KA - 注册表项完全访问权限
KR - 注册表项读取权限
KW - 注册表项写入权限
KX - 注册表项执行权限
例如:“/access:FRFW”将为读操作
和写操作启用审核事件。
- 十六进制值表示访问掩码(如
0x1200a9)。
在使用非 SDDL 标准的、特定于资源的位掩码时,
这很有用。如果省略,
则使用完全访问权限。
示例:
auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\myuser /success
auditpol /resourceSACL /set /type:File /user:MYDOMAIN\myuser /success
/failure /access:FRFW
auditpol /resourceSACL /type:File /clear
auditpol /resourceSACL /remove /type:File
/user:{S-1-5-21-56248481-1302087933-1644394174-1001}
auditpol /resourceSACL /type:File /view
auditpol /resourceSACL /type:File /view /user:MYDOMAIN\myuser
命令成功执行。
若有收获,就点个赞吧
0 人点赞
