community.windows.win_audit_rule 模块 – 向文件、文件夹或注册表项添加审核规则

注意

此模块是 community.windows 集合 (版本 2.3.0) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install community.windows

要在 playbook 中使用它,请指定:community.windows.win_audit_rule

概要

  • 用于将审核规则应用于文件、文件夹或注册表项。

  • 应用后,它将开始记录在事件查看器中的安全日志中定义的操作执行者。

  • 此行为旨在忽略继承的规则,因为在不首先禁用继承行为的情况下无法调整这些规则。不过,出于调试目的,它仍然会在输出中打印继承的规则。

参数

参数

注释

audit_flags

列表 / 元素=字符串 / 必需

定义是否记录失败、成功或两者。

要记录两者,请将其定义为逗号分隔的列表“成功,失败”。

选项

  • “失败”

  • “成功”

inheritance_flags

列表 / 元素=字符串

定义文件夹或注册表项内的哪些对象将继承设置。

如果要在文件上设置规则,则此值必须更改为 none

有关选项的更多信息,请参见 MSDN PropagationFlags 枚举:https://msdn.microsoft.com/en-us/library/system.security.accesscontrol.inheritanceflags.aspx

选项

  • "ContainerInherit" ← (默认)

  • "ObjectInherit" ← (默认)

默认值: ["ContainerInherit", "ObjectInherit"]

path

别名:dest,destination

路径 / 必需

文件、文件夹或注册表项的路径。

注册表路径应采用 PowerShell 格式,以根的缩写开头,例如 HKLM:\Software

propagation_flags

字符串

审核规则的传播标志。

当路径类型为文件时,忽略此值。

有关选项的更多信息,请参见 MSDN PropagationFlags 枚举:https://msdn.microsoft.com/en-us/library/system.security.accesscontrol.propagationflags.aspx

选项

  • "None" ← (默认)

  • “InherityOnly”

  • “NoPropagateInherit”

rights

列表 / 元素=字符串 / 必需

所需权限的逗号分隔列表。仅在添加规则时需要。

如果 *path* 是文件或目录,则权限可以是 MSDN FileSystemRights 下的任何权限 https://msdn.microsoft.com/en-us/library/system.security.accesscontrol.filesystemrights.aspx

如果 *path* 是注册表项,则权限可以是 MSDN RegistryRights 下的任何权限 https://msdn.microsoft.com/en-us/library/system.security.accesscontrol.registryrights.aspx

state

字符串

规则应该是 present 还是 absent

对于 absent,只需要 *path*、*user* 和 *state*。

指定 absent 将删除与定义的 *user* 匹配的所有规则。

选项

  • “absent”

  • "present" ← (默认)

user

字符串 / 必需

要调整其规则的用户或组。

另请参阅

另请参阅

community.windows.win_audit_policy_system

用于对系统范围的审核策略进行更改。

示例

- name: Add filesystem audit rule for a folder
  community.windows.win_audit_rule:
    path: C:\inetpub\wwwroot\website
    user: BUILTIN\Users
    rights: write,delete,changepermissions
    audit_flags: success,failure
    inheritance_flags: ContainerInherit,ObjectInherit

- name: Add filesystem audit rule for a file
  community.windows.win_audit_rule:
    path: C:\inetpub\wwwroot\website\web.config
    user: BUILTIN\Users
    rights: write,delete,changepermissions
    audit_flags: success,failure
    inheritance_flags: None

- name: Add registry audit rule
  community.windows.win_audit_rule:
    path: HKLM:\software
    user: BUILTIN\Users
    rights: delete
    audit_flags: 'success'

- name: Remove filesystem audit rule
  community.windows.win_audit_rule:
    path: C:\inetpub\wwwroot\website
    user: BUILTIN\Users
    state: absent

- name: Remove registry audit rule
  community.windows.win_audit_rule:
    path: HKLM:\software
    user: BUILTIN\Users
    state: absent

返回值

常见的返回值已在此处记录,以下是此模块特有的字段

描述

current_audit_rules

字典

定义的 *path* 上的当前规则

将返回“在 *path* 上未定义审核规则”

已返回:始终

示例: {"audit_flags": "Success", "inheritance_flags": "False", "is_inherited": "False", "propagation_flags": "None", "rights": "Delete", "user": "Everyone"}

path_type

字符串

目标 *path* 的类型。

将是文件、目录、注册表之一。

已返回:始终

作者

  • Noah Sparks (@nwsparks)