Создание аудитов безопасности Generate security audits

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности «Создание аудита безопасности». Describes the best practices, location, values, policy management, and security considerations for the Generate security audits security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие учетные записи могут использоваться процессом для создания записей аудита в журнале событий безопасности. This policy setting determines which accounts can be used by a process to generate audit records in the security event log. Служба подсистемы локального органа безопасности (LSASS) записывает события в журнал. The Local Security Authority Subsystem Service (LSASS) writes events to the log. Сведения в журнале событий безопасности можно использовать для трассировки несанкционированного доступа к устройству. You can use the information in the security event log to trace unauthorized device access.

Константа: SeAuditPrivilege Constant: SeAuditPrivilege

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Локализованная служба Local Service
• Сетовая служба Network Service

Рекомендации Best practices

• Так как журнал аудита потенциально может быть вектором атаки при компрометации учетной записи, убедитесь, что только учетные записи локальной и сетевой служб имеют право на создание аудитов безопасности, которые им назначены. **** Because the audit log can potentially be an attack vector if an account is compromised, ensure that only the Local Service and Network Service accounts have the Generate security audits user right assigned to them.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию этот параметр имеет значение Local Service and Network Service на контроллерах домена и автономных серверах. By default, this setting is Local Service and Network Service on domain controllers and stand-alone servers.

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Локализованная служба Local Service Сетовая служба Network Service
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Локализованная служба Local Service Сетовая служба Network Service
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings	Локализованная служба Local Service Сетовая служба Network Service
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Локализованная служба Local Service Сетовая служба Network Service
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Локализованная служба Local Service Сетовая служба Network Service

Управление политикой Policy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.

Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Неправильное использование этого права пользователя может привести к генерации многих событий аудита, потенциально скрывая признаки атаки или вызывая отказ в обслуживании (DoS), если аудит: немедленное завершение работы системы, если не удается занося в журнал параметр политики безопасности аудита безопасности. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial-of-service (DoS) if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Злоумышленник может использовать учетные записи, которые могут записываться в журнал безопасности, чтобы заполнить этот журнал бессмысленными событиями. A malicious user could use accounts that can write to the Security log to fill that log with meaningless events. Если компьютер настроен для перезаписи событий по мере необходимости, злоумышленники могут использовать этот метод, чтобы удалить признаки своих несанкционированных действий. If the computer is configured to overwrite events as needed, malicious users could use this method to remove evidence of their unauthorized activities. Если компьютер настроен на завершение работы, когда не удается записать данные в журнал безопасности и не настроен на автоматическое создание архива файлов журнала, этот метод можно использовать для создания условия DoS. If the computer is configured to shut down when it is unable to write to the Security log, and it is not configured to automatically back up the log files, this method could be used to create a DoS condition.

Противодействие Countermeasure

Убедитесь, что только учетные записи **** локальных и сетевых служб имеют право на создание аудитов безопасности, которые им назначены. Ensure that only the Local Service and Network Service accounts have the Generate security audits user right assigned to them.

Возможное влияние Potential impact

Нет. None. Настройка по умолчанию ограничивает права пользователя «Создание аудитов безопасности» на учетные записи локальной службы и сетевой службы. Restricting the Generate security audits user right to the Local Service and Network Service accounts is the default configuration.

Аудит системных событий Audit system events

Область применения Applies to

Определяет, следует ли проводить аудит, когда пользователь перезапускает или выключает компьютер, или когда происходит событие, которое влияет либо на безопасность системы, либо на журнал безопасности. Determines whether to audit when a user restarts or shuts down the computer or when an event occurs that affects either the system security or the security log.

Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.

Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

По умолчанию: Default:

• Успех на контроллерах домена. Success on domain controllers.
• Аудит на серверах-членах не проводится. No auditing on member servers.

Настройка этого параметра аудита Configure this audit setting

Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.

Вопросы и ответы по расширенному аудиту безопасности Advanced security auditing FAQ

Область применения Applies to

В этом разделе для ИТ-специалистов перечислены вопросы и ответы о том, как понять, развертывать и управлять политиками аудита безопасности. This topic for the IT professional lists questions and answers about understanding, deploying, and managing security audit policies.

Что такое аудит безопасности Windows и почему его можно использовать? What is Windows security auditing and why might I want to use it?

Аудит безопасности — это методическая проверка действий, которые могут повлиять на безопасность системы. Security auditing is a methodical examination and review of activities that may affect the security of a system. В операционных системах Windows аудит безопасности более узко определяется как функции и службы, позволяющие администратору вести журнал и проверять события для указанных действий, связанных с безопасностью. In the Windows operating systems, security auditing is more narrowly defined as the features and services that enable an administrator to log and review events for specified security-related activities.

Сотни событий происходят, когда операционная система Windows и выполняемые в ней приложения выполняют свои задачи. Hundreds of events occur as the Windows operating system and the applications that run on it perform their tasks. Мониторинг этих событий может предоставить ценную информацию, которая поможет администраторам устранять неполадки и исследовать действия, связанные с безопасностью. Monitoring these events can provide valuable information to help administrators troubleshoot and investigate security-related activities.

В чем разница между политиками аудита, расположенными в области «Локальные политики\Политика аудита», и политиками аудита, расположенными в конфигурации политики «Расширенный аудит»? What is the difference between audit policies located in Local Policies\Audit Policy and audit policies located in Advanced Audit Policy Configuration?

Основные параметры политики аудита безопасности в параметрах безопасности\Локальные политики\Политика аудита и расширенные параметры политики аудита безопасности в параметрах безопасности\Advanced Audit Policy Configuration\System Audit Policies кажутся перекрывающимися, но они записываюются и применяются по-разному. The basic security audit policy settings in Security Settings\Local Policies\Audit Policy and the advanced security audit policy settings in Security Settings\Advanced Audit Policy Configuration\System Audit Policies appear to overlap, but they are recorded and applied differently. При применении основных параметров политики аудита к локальному компьютеру с помощью оснастки «Локализованная политика безопасности» (secpol.msc) изменяется эффективная политика аудита, поэтому изменения, внесенные в основные параметры политики аудита, будут отображаться точно так же, как настроены в Auditpol.exe. When you apply basic audit policy settings to the local computer by using the Local Security Policy snap-in (secpol.msc), you are editing the effective audit policy, so changes made to basic audit policy settings will appear exactly as configured in Auditpol.exe.

Существует ряд дополнительных отличий между настройками политики аудита безопасности в этих двух расположениях. There are a number of additional differences between the security audit policy settings in these two locations.

В области «Параметры безопасности\Локальные политики\Политика аудита» и «Настройка политики аудита» имеется девять основных параметров политики аудита. There are nine basic audit policy settings under Security Settings\Local Policies\Audit Policy and settings under Advanced Audit Policy Configuration. Параметры, доступные в параметрах безопасности\Advanced Audit Policy Configuration, позволяют решить те же проблемы, что и девять основных параметров в local Policies\Audit Policy, но они позволяют администраторам более выборочно выбирать количество и типы событий для аудита. The settings available in Security Settings\Advanced Audit Policy Configuration address similar issues as the nine basic settings in Local Policies\Audit Policy, but they allow administrators to be more selective in the number and types of events to audit. Например, базовая политика аудита предоставляет один параметр для учетной записи, а политика расширенный аудит предоставляет четыре параметра. For example, the basic audit policy provides a single setting for account logon, and the advanced audit policy provides four. Включение параметра единой базовой учетной записи для работы с учетной записью эквивалентно настройке всех четырех расширенных параметров для учетной записи. Enabling the single basic account logon setting would be the equivalent of setting all four advanced account logon settings. Для сравнения, установка одного параметра политики расширенных аудита не создает события аудита для действий, которые вас не интересуют. In comparison, setting a single advanced audit policy setting does not generate audit events for activities that you are not interested in tracking.

Кроме того, если включить аудит успешности для базового параметра событий входа в учетную запись аудита, будут регистрироваться только события успешности для всех событий, связанных с входом в учетную запись. **** In addition, if you enable success auditing for the basic Audit account logon events setting, only success events will be logged for all account logon–related behaviors. Для сравнения, в зависимости от потребностей организации можно настроить аудит успешности для одного параметра для расширенных учетных записей, аудит сбоев для второго параметра дополнительных учетных записей, аудит успешности и сбоя для третьего параметра дополнительных учетных записей или отсутствие аудита. In comparison, depending on the needs of your organization, you can configure success auditing for one advanced account logon setting, failure auditing for a second advanced account logon setting, success and failure auditing for a third advanced account logon setting, or no auditing.

В Windows 2000 были представлены девять основных параметров в области «Параметры безопасности\Локальные политики\Политика аудита». The nine basic settings under Security Settings\Local Policies\Audit Policy were introduced in Windows 2000. Поэтому они доступны во всех версиях Windows, выпущенных с этого момента. Therefore, they are available in all versions of Windows released since then. Расширенные параметры политики аудита были представлены в Windows Vista и Windows Server 2008. The advanced audit policy settings were introduced in Windows Vista and Windows Server 2008. Дополнительные параметры можно использовать только на компьютерах под управлением Windows 7, Windows Server 2008 и более поздних версиях. The advanced settings can only be used on computers running Windows 7, Windows Server 2008, and later.

Как взаимодействуют основные параметры политики аудита и расширенные параметры политики аудита? What is the interaction between basic audit policy settings and advanced audit policy settings?

Основные параметры политики аудита несовместимы с расширенными настройками политики аудита, которые применяются с помощью групповой политики. Basic audit policy settings are not compatible with advanced audit policy settings that are applied by using Group Policy. Если с помощью групповой политики применяются дополнительные параметры политики аудита, параметры политики аудита текущего компьютера очищаются до применения итогов дополнительных параметров политики аудита. When advanced audit policy settings are applied by using Group Policy, the current computer’s audit policy settings are cleared before the resulting advanced audit policy settings are applied. После применения расширенных параметров политики аудита с помощью групповой политики можно надежно установить политику аудита системы для компьютера только с помощью расширенных параметров политики аудита. After you apply advanced audit policy settings by using Group Policy, you can only reliably set system audit policy for the computer by using the advanced audit policy settings.

Изменение и применение расширенных параметров политики аудита в локальной политике безопасности изменяет локальный объект групповой политики (GPO), поэтому изменения, внесенные здесь, могут не отражаться в Auditpol.exe если существуют политики из других объектов групповой политики домена или скриптов для логотипа. Editing and applying the advanced audit policy settings in Local Security Policy modifies the local Group Policy Object (GPO), so changes made here may not be exactly reflected in Auditpol.exe if there are policies from other domain GPOs or logon scripts. Оба типа политик можно изменять и применять с помощью GOS домена, и эти параметры будут переопределять любые конфликтующие параметры локальной политики аудита. Both types of policies can be edited and applied by using domain GPOs, and these settings will override any conflicting local audit policy settings. Однако поскольку базовая политика аудита записана в эффективную политику аудита, она должна быть явно удалена при желании изменения или останется в эффективной политике аудита. However, because the basic audit policy is recorded in the effective audit policy, that audit policy must be explicitly removed when a change is desired, or it will remain in the effective audit policy. Изменения политики, применяемые с помощью параметров локальной или доменной групповой политики, отражаются сразу после применения новой политики. Policy changes that are applied by using local or domain Group Policy settings are reflected as soon as the new policy is applied.

Важно! Независимо от того, применяются ли расширенные политики аудита с помощью групповой политики или с помощью скриптов для логотипа, не используйте как основные параметры политики аудита в соответствии с локальными политиками\Политика аудита, так и дополнительные параметры в параметрах безопасности\Advanced Audit Policy Configuration. Important Whether you apply advanced audit policies by using Group Policy or by using logon scripts, do not use both the basic audit policy settings under Local Policies\Audit Policy and the advanced settings under Security Settings\Advanced Audit Policy Configuration. Использование расширенных и базовых параметров политики аудита может привести к непредвиденным результатам в отчетах аудита. Using both advanced and basic audit policy settings can cause unexpected results in audit reporting.

Если вы используете параметры конфигурации политики «Расширенный аудит» или сценарии для применения расширенных политик аудита, не забудьте включить параметры подкатегории политики аудита (Windows Vista или более поздней версии) для переопределения параметра политики аудита категории «Локальные политики\Параметры безопасности». If you use Advanced Audit Policy Configuration settings or use logon scripts to apply advanced audit policies, be sure to enable the Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings policy setting under Local Policies\Security Options. Это позволит избежать конфликтов между похожими настройками, принудительно игнорируя базовый аудит безопасности. This will prevent conflicts between similar settings by forcing basic security auditing to be ignored.

Как параметры аудита объединяются групповой политикой? How are audit settings merged by Group Policy?

По умолчанию параметры политики, установленные в объектах GOS и связанные с более высокими уровнями сайтов, доменов и узлов Active Directory, наследуются всеми OUS на более низких уровнях. By default, policy options that are set in GPOs and linked to higher levels of Active Directory sites, domains, and OUs are inherited by all OUs at lower levels. Однако наследуемая политика может быть переопределена GPO, связанным на более низком уровне. However, an inherited policy can be overridden by a GPO that is linked at a lower level.

Например, можно использовать GPO домена для назначения всей организации группы параметров аудита, но нужно, чтобы определенное OU могло получить определенную группу дополнительных параметров. For example, you might use a domain GPO to assign an organization-wide group of audit settings, but want a certain OU to get a defined group of additional settings. Для этого можно привязать второй GPO к этому конкретному более низкому уровню. To accomplish this, you can link a second GPO to that specific lower-level OU. Таким образом, параметр аудита для регистрации в группах, применяемый на уровне OU, переопределит конфликтующий параметр аудита, применяемый на уровне домена (если вы не приняли специальных действий для применения обработки циклов групповой политики). Therefore, a logon audit setting that is applied at the OU level will override a conflicting logon audit setting that is applied at the domain level (unless you have taken special steps to apply Group Policy loopback processing).

Правила, управляющие тем, как применяются параметры групповой политики, распространяются на уровень подкатегории параметров политики аудита. The rules that govern how Group Policy settings are applied propagate to the subcategory level of audit policy settings. Это означает, что параметры политики аудита, настроенные в разных GOS, будут объединены, если параметры политики, настроенные на более низком уровне, не существуют. This means that audit policy settings configured in different GPOs will be merged if no policy settings configured at a lower level exist. В следующей таблице показано такое поведение. The following table illustrates this behavior.

Подкатегория аудита Auditing subcategory	Настройка, настроенная в GPO для OU (более высокий приоритет) Setting configured in an OU GPO (higher priority)	Настройка, настроенная в GPO домена (более низкий приоритет) Setting configured in a domain GPO (lower priority)	Итоговая политика для целевого компьютера Resulting policy for the target computer
Подробный аудит файловой папки Detailed File Share Auditing	Успешно Success	Сбой Failure	Успешно Success
Аудит создания процесса Process Creation Auditing	Отключено Disabled	Успешно Success	Отключено Disabled
Аудит для логотипа Logon Auditing	Сбой Failure	Успешно Success	Сбой Failure

В чем разница между объектом DACL и SACL объекта? What is the difference between an object DACL and an object SACL?

Все объекты в доменных службах Active Directory (AD DS) и все защищаемые объекты на локальном компьютере или в сети имеют дескрипторы безопасности для управления доступом к объектам. All objects in Active Directory Domain Services (AD DS), and all securable objects on a local computer or on the network, have security descriptors to help control access to the objects. Дескрипторы безопасности включают сведения о том, кто владеет объектом, кто может получить к нему доступ и каким образом и какие типы доступа проверяются. Security descriptors include information about who owns an object, who can access it and in what way, and what types of access are audited. Дескрипторы безопасности содержат список управления доступом (ACL) объекта, который включает все разрешения безопасности, которые применяются к этому объекту. Security descriptors contain the access control list (ACL) of an object, which includes all of the security permissions that apply to that object. Дескриптор безопасности объекта может содержать два типа ALS: An object’s security descriptor can contain two types of ACLs:

• Список управления доступом на дискреционный доступ (DACL), который определяет пользователей и группы, которым разрешен или запрещен доступ A discretionary access control list (DACL) that identifies the users and groups who are allowed or denied access
• Список управления доступом к системе (SACL), который управляет аудитом доступа A system access control list (SACL) that controls how access is audited

Модель управления доступом, используемая в Windows, администрироваться на уровне объекта путем установки различных уровней доступа к объектам или разрешений. The access control model that is used in Windows is administered at the object level by setting different levels of access, or permissions, to objects. Если разрешения настроены для объекта, его дескриптор безопасности содержит DACL с идентификаторами безопасности для пользователей и групп, которые имеют разрешенный или запрещенный доступ. If permissions are configured for an object, its security descriptor contains a DACL with security identifiers (SIDs) for the users and groups that are allowed or denied access.

Если для объекта настроен аудит, его дескриптор безопасности также содержит SACL, который управляет попытками аудита подсистемы безопасности для доступа к объекту. If auditing is configured for the object, its security descriptor also contains a SACL that controls how the security subsystem audits attempts to access the object. Однако аудит не настраивается полностью, если для объекта не настроен saCL **** и не настроен и применен соответствующий параметр политики аудита доступа к объектам. However, auditing is not completely configured unless a SACL has been configured for an object and a corresponding Object Access audit policy setting has been configured and applied.

Почему политики аудита применяются для каждого компьютера, а не для каждого пользователя? Why are audit policies applied on a per-computer basis rather than per user?

При аудите безопасности в Windows компьютер, объекты на компьютере и связанные ресурсы являются основными получателями действий клиентов, включая приложения, другие компьютеры и пользователей. In security auditing in Windows, the computer, objects on the computer, and related resources are the primary recipients of actions by clients including applications, other computers, and users. В случае нарушения безопасности злоумышленники могут использовать альтернативные учетные данные, чтобы скрыть свои удостоверения, или вредоносные приложения могут подавить законных пользователей для выполнения недоверяющих задач. In a security breach, malicious users can use alternate credentials to hide their identity, or malicious applications can impersonate legitimate users to perform undesired tasks. Поэтому наиболее согласованный способ применения политики аудита — сосредоточиться на компьютере, а также на объектах и ресурсах на этом компьютере. Therefore, the most consistent way to apply an audit policy is to focus on the computer and the objects and resources on that computer.

Кроме того, поскольку возможности политики аудита могут отличаться в зависимости от компьютеров под управлением различных версий Windows, лучший способ убедиться, что политика аудита применена правильно, — создать эти параметры на компьютере, а не на компьютере пользователя. In addition, because audit policy capabilities can vary between computers running different versions of Windows, the best way to ensure that the audit policy is applied correctly is to base these settings on the computer instead of the user.

Однако в тех случаях, когда параметры аудита должны применяться только к указанным группам пользователей, это можно сделать, настроив SACLs для соответствующих объектов, чтобы включить аудит для группы безопасности, которая содержит только указанных пользователей. However, in cases where you want audit settings to apply only to specified groups of users, you can accomplish this by configuring SACLs on the relevant objects to enable auditing for a security group that contains only the users you specify. Например, можно настроить SACL для папки Payroll Data на accounting Server 1. For example, you can configure a SACL for a folder called Payroll Data on Accounting Server 1. Это может проверять попытки членов OU «Обработчики выплат» удалить объекты из этой папки. This can audit attempts by members of the Payroll Processors OU to delete objects from this folder. Параметр политики аудита файловой системы «Доступ к объекту\Аудит» применяется к серверу Accounting Server 1, но так как для него требуется соответствующий SACL ресурса, события аудита создаются только действиями членов OU обработчиков ведомости в папке данных о зарплате. The Object Access\Audit File System audit policy setting applies to Accounting Server 1, but because it requires a corresponding resource SACL, only actions by members of the Payroll Processors OU on the Payroll Data folder generates audit events.

В чем различия между версиями Windows в функциях аудита? What are the differences in auditing functionality between versions of Windows?

Основные параметры политики аудита доступны во всех версиях Windows начиная с Windows 2000 и могут применяться локально или с помощью групповой политики. Basic audit policy settings are available in all versions of Windows since Windows 2000, and they can be applied locally or by using Group Policy. Дополнительные параметры политики аудита были представлены в Windows Vista и Windows Server 2008, но эти параметры можно применять только с помощью скриптов для логотипа в этих версиях. Advanced audit policy settings were introduced in Windows Vista and Windows Server 2008, but the settings can only be applied by using logon scripts in those versions. Дополнительные параметры политики аудита, которые были представлены в Windows 7 и Windows Server 2008 R2, можно настроить и применить с помощью локальных и доменных параметров групповой политики. Advanced audit policy settings, which were introduced in Windows 7 and Windows Server 2008 R2, can be configured and applied by using local and domain Group Policy settings.

Можно ли использовать расширенные политики аудита с контроллера домена под управлением Windows Server 2003 или Windows 2000 Server? Can I use advanced audit policies from a domain controller running Windows Server 2003 or Windows 2000 Server?

Чтобы использовать дополнительные параметры политики аудита, контроллер домена должен быть установлен на компьютере под управлением Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003 with Service Pack 2 (SP2). To use advanced audit policy settings, your domain controller must be installed on a computer running Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, or Windows Server 2003 with Service Pack 2 (SP2). Windows 2000 Server не поддерживается. Windows 2000 Server is not supported.

В чем разница между событиями успешности и сбоя? What is the difference between success and failure events? Что-то не так, если я получаю аудит сбоев? Is something wrong if I get a failure audit?

Событие аудита успешности инициируется, когда определенное действие, например доступ к файловой папке, успешно завершено. A success audit event is triggered when a defined action, such as accessing a file share, is completed successfully.

Событие аудита сбоя инициируется, когда определенное действие, например, пользователь, не выполнено успешно. A failure audit event is triggered when a defined action, such as a user logon, is not completed successfully.

Появление событий аудита сбоев в журнале событий не обязательно означает, что в системе что-то не так. The appearance of failure audit events in the event log does not necessarily mean that something is wrong with your system. Например, если вы настроили события аудита для доступа к учетной записи, событие сбоя может просто означать, что пользователь в ошибке в свой пароль встроил пароль. For example, if you configure Audit Logon events, a failure event may simply mean that a user mistyped his or her password.

Как настроить политику аудита, влияемую на все объекты на компьютере? How can I set an audit policy that affects all objects on a computer?

Системные администраторы и аудиторы все чаще хотят проверять, применяется ли политика аудита к всем объектам в системе. System administrators and auditors increasingly want to verify that an auditing policy is applied to all objects on a system. Это было трудно сделать, так как системные списки управления доступом (SACLs), управляющие аудитом, применяются для каждого объекта. This has been difficult to accomplish because the system access control lists (SACLs) that govern auditing are applied on a per-object basis. Таким образом, чтобы убедиться, что политика аудита применена к всем объектам, необходимо проверить каждый объект, чтобы убедиться, что изменения не были внесены даже временно в один SACL. Thus, to verify that an audit policy has been applied to all objects, you would have to check every object to be sure that no changes have been made—even temporarily to a single SACL. В Windows Server 2008 R2 Windows 7 аудит безопасности позволяет администраторам определять глобальные политики аудита доступа к объектам для всей файловой системы или реестра на компьютере. Introduced in Windows Server 2008 R2 and Windows 7, security auditing allows administrators to define global object access auditing policies for the entire file system or for the registry on a computer. Затем указанный SACL автоматически применяется к каждому объекту этого типа. The specified SACL is then automatically applied to every object of that type. Это может быть полезно для проверки защиты всех критически важных файлов, папок и параметров реестра на компьютере, а также для определения возникновения проблемы с системным ресурсом. This can be useful for verifying that all critical files, folders, and registry settings on a computer are protected, and for identifying when an issue with a system resource occurs. Если на компьютере настроены saCL файла или папки и глобальная политика аудита доступа к объектам (или один параметр реестра SACL и глобальная политика аудита доступа к объектам), эффективное saCL является производным от объединения SACL файла или папки и глобальной политики аудита доступа к объектам. If a file or folder SACL and a global object access auditing policy (or a single registry setting SACL and a global object access auditing policy) are configured on a computer, the effective SACL is derived from combining the file or folder SACL and the global object access auditing policy. Это означает, что событие аудита создается, если действие соответствует либо файлу, либо папке SACL, либо глобальной политике аудита доступа к объекту. This means that an audit event is generated if an activity matches either the file or folder SACL or the global object access auditing policy.

Как понять, почему кто-то смог получить доступ к ресурсу? How do I figure out why someone was able to access a resource?

Часто недостаточно просто знать, что был доступ к объекту, например к файлу или папке. Often it is not enough to know simply that an object such as a file or folder was accessed. Вам также может потребоваться узнать, почему пользователю удалось получить доступ к этому ресурсу. You may also want to know why the user was able to access this resource. Эти данные можно получить, настроив параметр **** обработки аудита с помощью файловой системы аудита или параметра аудита реестра аудита. **** You can obtain this forensic data by configuring the Audit Handle Manipulation setting with the Audit File System or with the Audit Registry audit setting.

Как узнать, когда были внесены изменения в параметры управления доступом, кем и какими были изменения? How do I know when changes are made to access control settings, by whom, and what the changes were?

Чтобы отслеживать изменения управления доступом на компьютерах под управлением Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, необходимо включить следующие параметры, которые отслеживают изменения DACLs: To track access control changes on computers running Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Windows 7, Windows Server 2008 R2, Windows Vista, or Windows Server 2008, you need to enable the following settings, which track changes to DACLs:

• Подкатегория аудита файловой системы: включить для успешного, неудачного или успешного и неудачного Audit File System subcategory: Enable for success, failure, or success and failure
• Параметр изменения политики авторизации аудита: включить для успешного, неудачного или успешного и неудачного Audit Authorization Policy Change setting: Enable for success, failure, or success and failure
• SACL с разрешениями на записи и получение прав владельца: применяется к объекту, который вы хотите отслеживать A SACL with Write and Take ownership permissions: Apply to the object that you want to monitor

В Windows XP и Windows Server 2003 **** необходимо использовать подкатегорию изменения политики аудита. In Windows XP and Windows Server 2003, you need to use the Audit policy change subcategory.

Как откатить политики аудита безопасности от политики «Расширенный аудит» до базовой? How can I roll back security audit policies from the advanced audit policy to the basic audit policy?

Применение расширенных параметров политики аудита заменяет любые сравнимые базовые параметры политики аудита безопасности. Applying advanced audit policy settings replaces any comparable basic security audit policy settings. Если впоследствии вы измените параметр **** политики расширенных политик аудита на «Не настроено», необходимо выполнить следующие действия, чтобы восстановить исходные основные параметры политики аудита безопасности: If you subsequently change the advanced audit policy setting to Not configured, you need to complete the following steps to restore the original basic security audit policy settings:

1. Установите для всех подкатегорий политики «Расширенный аудит» «Не настроено». Set all Advanced Audit Policy subcategories to Not configured.
2. Удалите все audit.csv из папки %SYSVOL% на контроллере домена. Delete all audit.csv files from the %SYSVOL% folder on the domain controller.
3. Перенастройка и применение основных параметров политики аудита. Reconfigure and apply the basic audit policy settings.

Если вы не выполните все эти действия, основные параметры политики аудита не будут восстановлены. Unless you complete all of these steps, the basic audit policy settings will not be restored.

Как отслеживать внесение изменений в параметры политики аудита? How can I monitor if changes are made to audit policy settings?

Изменения политик аудита безопасности являются критически важными событиями безопасности. Changes to security audit policies are critical security events. С помощью параметра «Изменение политики аудита аудита» можно определить, создает ли операционная система события аудита при следующих действиях: You can use the Audit Audit Policy Change setting to determine if the operating system generates audit events when the following types of activities take place:

• Разрешения и параметры аудита для объекта политики аудита изменены Permissions and audit settings on the audit policy object are changed
• Политика аудита системы изменена The system audit policy is changed
• Источники событий безопасности регистрируются или отрегистрируются Security event sources are registered or unregistered
• Параметры аудита на пользователя изменены Per-user audit settings are changed
• Значение CrashOnAuditFail изменено The value of CrashOnAuditFail is modified
• Параметры аудита файла или реестра изменены Audit settings on a file or registry key are changed
• Список специальных групп изменен A Special Groups list is changed

Как свести к минимуму количество генерируемых событий? How can I minimize the number of events that are generated?

Поиск правильного баланса между достаточной активностью сети и компьютера в аудите и слишком малой активностью сети и компьютера может быть сложной задачей. Finding the right balance between auditing enough network and computer activity and auditing too little network and computer activity can be challenging. Этот баланс можно достичь путем определения наиболее важных ресурсов, критически важных действий, а также пользователей или групп пользователей. You can achieve this balance by identifying the most important resources, critical activities, and users or groups of users. Затем разработать политику аудита безопасности, которая будет ориентирована на эти ресурсы, действия и пользователей. Then design a security audit policy that targets these resources, activities, and users. Полезные рекомендации по разработке эффективной стратегии аудита безопасности можно найти в планировании и развертывании расширенных политик аудита безопасности. Useful guidelines and recommendations for developing an effective security auditing strategy can be found in Planning and deploying advanced security audit policies.

Какие средства лучше всего использовать для моделирования политик аудита и управления ими? What are the best tools to model and manage audit policies?

Интеграция расширенных параметров политики аудита с групповой политикой домена, представленная в Windows 7 и Windows Server 2008 R2, предназначена для упрощения управления и реализации политик аудита безопасности в сети организации. The integration of advanced audit policy settings with domain Group Policy, introduced in Windows 7 and Windows Server 2008 R2, is designed to simplify the management and implementation of security audit policies in an organization’s network. Таким образом, средства, используемые для планирования и развертывания объектов групповой политики для домена, также можно использовать для планирования и развертывания политик аудита безопасности. As such, tools used to plan and deploy Group Policy Objects for a domain can also be used to plan and deploy security audit policies. На отдельном компьютере средство командной строки Auditpol можно использовать для выполнения ряда важных задач управления, связанных с политикой аудита. On an individual computer, the Auditpol command-line tool can be used to complete a number of important audit policy–related management tasks.

Кроме того, существует ряд продуктов для управления компьютером, таких как службы сбора аудита в продуктах Microsoft System Center Operations Manager, которые можно использовать для сбора и фильтрации данных событий. In addition, there are a number of computer management products, such as the Audit Collection Services in the Microsoft System Center Operations Manager products, which can be used to collect and filter event data.

Где можно найти сведения обо всех возможных событиях, которые можно получить? Where can I find information about all the possible events that I might receive?

Пользователи, которые впервые проверяют журнал событий безопасности, могут быть немного перегружены количеством хранимого в нем события аудита (которое быстро может быть числом в тысячах) и структурированной информацией, включенной для каждого события аудита. Users who examine the security event log for the first time can be a bit overwhelmed by the number of audit events that are stored there (which can quickly number in the thousands) and by the structured information that is included for each audit event. Дополнительные сведения об этих событиях и параметрах, используемых для их создания, можно получить из следующих ресурсов: Additional information about these events, and the settings used to generate them, can be obtained from the following resources:

Где можно найти более подробные сведения? Where can I find more detailed information?

Дополнительные информацию о политиках аудита безопасности см. в следующих ресурсах: To learn more about security audit policies, see the following resources: