Главная » Linux

Аудит событий безопасности windows

Содержание
  1. Базовые политики аудита безопасности Basic security audit policies
  2. Аудит системных событий Audit system events
  3. Настройка этого параметра аудита Configure this audit setting
  4. Аудит изменения состояния безопасности Audit Security State Change
  5. Аудит события входа Audit logon events
  6. Настройка этого параметра аудита Configure this audit setting
  7. Аудит безопасности в Windows
  8. Что такое аудит безопасности в Windows?
  9. Как установить и настроить аудит безопасности в Windows?
  10. Как контролировать события входа в Windows?
  11. Как контролировать события доступа к файлам?

Базовые политики аудита безопасности Basic security audit policies

Область применения Applies to

Перед внедрением аудита необходимо выбрать политику аудита. Before you implement auditing, you must decide on an auditing policy. Базовая политика аудита определяет категории событий, связанных с безопасностью, которые необходимо проверять. A basic audit policy specifies categories of security-related events that you want to audit. При первой установке этой версии Windows все категории аудита отключаются. When this version of Windows is first installed, all auditing categories are disabled. Включив различные категории событий аудита, вы можете реализовать политику аудита, которая отвечает требованиям безопасности вашей организации. By enabling various auditing event categories, you can implement an auditing policy that suits the security needs of your organization.

Категории событий, которые можно выбрать для аудита: The event categories that you can choose to audit are:

  • Аудит событий входа в систему Audit account logon events
  • Аудит управления учетными записями Audit account management
  • Аудит доступа к службе каталогов Audit directory service access
  • Аудит события входа Audit logon events
  • Аудит доступа к объектам Audit object access
  • Аудит изменения политики Audit policy change
  • Аудит использования привилегий Audit privilege use
  • Аудит отслеживания процессов Audit process tracking
  • Аудит системных событий Audit system events

При выборе аудита доступа к объектам в рамках политики аудита необходимо включить категорию доступа службы каталогов аудита (для объектов аудита на контроллере домена) или категорию доступа к объектам аудита (для объектов аудита на рядовом сервере или рабочей станции). If you choose to audit access to objects as part of your audit policy, you must enable either the audit directory service access category (for auditing objects on a domain controller), or the audit object access category (for auditing objects on a member server or workstation). После включения категории доступа к объекту можно указать типы доступа, которые необходимо проверять для каждой группы или пользователя. Once you have enabled the object access category, you can specify the types of access you want to audit for each group or user.

Аудит системных событий Audit system events

Область применения Applies to

Определяет, следует ли проводить аудит, когда пользователь перезапускает или выключает компьютер, или когда происходит событие, которое влияет либо на безопасность системы, либо на журнал безопасности. Determines whether to audit when a user restarts or shuts down the computer or when an event occurs that affects either the system security or the security log.

Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.

Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Читайте также:  Темы для windows картины

По умолчанию: Default:

  • Успех на контроллерах домена. Success on domain controllers.
  • Аудит на серверах-членах не проводится. No auditing on member servers.

Настройка этого параметра аудита Configure this audit setting

Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.

Аудит изменения состояния безопасности Audit Security State Change

Область применения Applies to

  • Windows 10 Windows 10
  • Windows Server 2016 Windows Server 2016

Аудит изменения состояния безопасности содержит события запуска, восстановления и завершения работы Windows, а также сведения об изменениях системного времени. Audit Security State Change contains Windows startup, recovery, and shutdown events, and information about changes in system time.

Объем события: низкий. Event volume: Low.

Тип компьютера Computer Type Общий успех General Success Общий сбой General Failure Более успешный успех Stronger Success Более сильное сбой Stronger Failure Комментарии Comments
Контроллер домена Domain Controller Да Yes Нет No Да Yes Нет No Количество событий в этой подкатегории очень мало, и все они являются важными событиями и имеют релевантность для системы безопасности. The volume of events in this subcategory is very low and all of them are important events and have security relevance.
В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.
Сервер-член Member Server Да Yes Нет No Да Yes Нет No Количество событий в этой подкатегории очень мало, и все они являются важными событиями и имеют релевантность для системы безопасности. The volume of events in this subcategory is very low and all of them are important events and have security relevance.
В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.
Workstation Workstation Да Yes Нет No Да Yes Нет No Количество событий в этой подкатегории очень мало, и все они являются важными событиями и имеют релевантность для системы безопасности. The volume of events in this subcategory is very low and all of them are important events and have security relevance.
В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.

Список событий: Events List:

4608(S): начинается запуск Windows. 4608(S): Windows is starting up.

4616(S): время системы было изменено. 4616(S): The system time was changed.

4621(S): администратор восстановил систему из CrashOnAuditFail. 4621(S): Administrator recovered system from CrashOnAuditFail.

Событие 4609(S): завершение работы Windows в настоящее время не генерируется. Event 4609(S): Windows is shutting down doesn’t currently generate. Это определенное событие, но оно никогда не вызывается операционной системой. It is a defined event, but it is never invoked by the operating system.

Аудит события входа Audit logon events

Область применения Applies to

Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.

События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.

Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.

Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.

Настройка этого параметра аудита Configure this audit setting

Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.

События для логотипа Logon events Описание Description
4624 4624 Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below.
4625 4625 Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password.
4634 4634 Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user.
4647 4647 Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process.
4648 4648 Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user.
4779 4779 Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off.

При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.

Аудит безопасности в Windows

Что такое аудит безопасности в Windows?

Аудит безопасности Windows — это технические средства и мероприятия, направленные на регистрацию и систематический регулярный анализ событий, влияющих на безопасность информационных систем предприятия. Технически, аудит безопасности в Windows реализуется через настройку политик аудита и настройку аудита объектов. Политика аудита определяет какие события и для каких объектов будут генерироваться в журнал событий Безопасность. Регулярный анализ данных журнала безопасности относится к организационным мерам, для поддержки которых может применяться различное программное обеспечение. В самом простом случае можно обходиться приложением Просмотр событий. Для автоматизации задач анализа событий безопасности могут применяться более продвинутые программы и системы управления событиями безопасности (SIEM), обеспечивающие постоянный контроль журналов безопасности, обнаружение новых событий, их классификацию, оповещение специалистов при обнаружении критических событий. Наша программа Event Log Explorer также содержит набор функций для автоматизации мониторинга событий для любых журналов событий.

Как установить и настроить аудит безопасности в Windows?

Аудит безопасности Windows включается через Групповую политику (Group Policy) в Active Directory или Локальную политику безопасности. Чтобы настроить аудит на отдельном компьютере, без Active Directory, выполните следующие шаги:

  • Откройте Панель управления Windows, выберите Администрирование (Administrative Tools), и затем запустите Локальная политика безопасности (Local Security Policy)
  • Откройте ветвь Локальные политики и выберите Политика Аудита
  • В правой панели окна Локальная политика безопасности (Local Security Policy) вы увидите список политик аудита. Двойным кликом на интересующей вас политике откройте параметры и установите флажки Аудит успехов или Аудит отказов (Success or Failure).

Так настраиваются базовые политики аудита.

Начиная с Windows 2008 R2/Windows 7, вы можете использовать Расширенные политики (Advanced Security Audit Policy):
Local Security Policy -> Advanced Audit Policy Configuration -> System Audit Policies.
Подробная информация про расширенные политики (Advanced Security Audit Policy) доступна тут https://technet.microsoft.com/en-us/library/dn319056.aspx

Как контролировать события входа в Windows?

Аудит безопасности Windows позволяет контроллировать события входа в систему и обнаруживать неудачные попытки входа. Система Windows генерирует такие события не только при непосредственной попытке входа в систему, но и при удаленном доступе с другого компьютера к ресурсам с общим доступом. Аудит событий входа помогает обнаруживать подозрительную активность или потенциальные атаки при администрировании и расследовании инцидентов

Для отдельного компьютера (без Active Directory) аудит событий входа настраивается так:

  • Откройте ветвь Локальные политики (Local Policies) в Локальная политика безопасности (Local Security Policy)
  • Выберите Audit Policy.
  • Двойным кликом откройте Аудит событий входа (Audit logon events) и включите опции аудита успехов и отказов (Success и Failure).

После этого все попытки входа — успешные и неудачные будут протоколироваться в журнал событий Безопасность

Список кодов важных событий входа в систему

Event ID Текст описания события
4624 Вход с учетной записью выполнен успешно
4625 Не удалось выполнить вход с учетной записью
4648 Попытка входа в систему, используя явные учетные данные
4675 Идентификаторы безопасности были отфильтрованы

Подробнее с кодами событий безопасности можно ознакомиться тут https://support.microsoft.com/ru-ru/kb/977519

Как контролировать события доступа к файлам?

Средства Аудита безопасности Windows позволяют контролировать доступ к файлам, папкам, ключам реестра и другим объектам и другим системным объектам у которых есть SACL. Мониторинг доступа к файлам для файл-сервера может быть важной задачей и средства аудита безопасности Windows помогают администраторам в этом. Аудит доступа к файлам и реестру позволяет обнаруживать попытки несанкционированного доступа к файлам и предотвращать или отслеживать изменения конфигураций системы и программ.

Читайте также:  Windows 10 экран блокировки через 10 минут
Оцените статью
© 2024 Советы по настройке компьютера