Randy Smith shrnuje ve svém článku Security Log Step-by-Step: Avoiding Audit Policy Configuration Pitfalls zásady správného nastavení bezpečnostního auditu ve Windows a upozorňuje na problémy, které způsobuje nekompatibilita starších nástrojů (rsop.msc, gpresult) – nezobrazují správně nastavení auditu zavedená ve verzi Windows Vista a Server 2008. Viz také článek Getting the Effective Audit Policy in Windows 7 and 2008 R2 na webu Technet.

To make things interesting, all of this can be configured through domain policy, local policy, multiple-local policy, per-user, or using command-line tools. Like most security policy that has evolved through 20 years of Windows, it’s a bit of a Frankenstein’s monster. Making sense of what settings are actually in place in Win7 and 2008 R2 can be a real pain in the neck.

Doporučení podle Randyho pro konfiguraci Audit Policy ve Win2008R2/Win7 :

1. Nepoužívej Local Security Policy
2. Nepoužívej auditpol /set
3. Ke konfiguraci Audit Policy použij objekty group policy v Active Directory
4. Vždy povol „Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings„ a pro novější systémy Win2008R2+  ignoruj 9 původních kategorií auditu.
5. Konfiguruj všechny subkategorie – aby bylo jasně definováno, zda je výslovně povolená nebo zakázaná.
6. K ověření nastaveného stavu nepožívej Local Security Policy, Group Policy Results Wizard, RSOP ani gpresults
7. Místo toho vypiš aktuální nastavení příkazem „auditpol /get /category:*„
8. Monitoruj výskyt událostí 4719, ve kterých není jako uživatel uveden samotný systém. Taková událost indikuje, že se někdo pokouší dočasně změnit tvoje předepsaná nastavení auditu z GPO. To je vážný problém, indikuje něco zlého.