Аудит событий безопасности Auditing Security Events

Приложения, созданные с помощью Windows Communication Foundation (WCF), могут регистрировать события безопасности (успех, сбой или и то, и другое) с помощью функции аудита. Applications created with Windows Communication Foundation (WCF) can log security events (either success, failure, or both) with the auditing feature. События записываются в журнал системных событий Windows, и их можно просматривать при помощи средства просмотра событий. The events are written to the Windows system event log and can be examined using the Event Viewer.

Аудит позволяет администраторам обнаруживать уже законченную или происходящую атаку. Auditing provides a way for an administrator to detect an attack that has already occurred or is in progress. Кроме того, аудит может помочь разработчику при отладке неполадок, связанных с безопасностью. In addition, auditing can help a developer to debug security-related problems. Например, если в результате ошибки в конфигурации авторизации или политики проверки авторизованному пользователю было отказано в доступе, разработчик может быстро найти и понять причину такой ошибки, изучив журнал событий. For example, if an error in the configuration of the authorization or checking policy accidentally denies access to an authorized user, a developer can quickly discover and isolate the cause of this error by examining the event log.

Дополнительные сведения о безопасности WCF см. в разделе Общие сведения о безопасности. For more information about WCF security, see Security Overview. Дополнительные сведения о программировании WCF см. в разделе Базовая программирование WCF. For more information about programming WCF, see Basic WCF Programming.

Уровень и поведение аудита Audit Level and Behavior

Предусмотрены два уровня аудита безопасности. Two levels of security audits exist:

Уровень авторизации службы, на котором производится авторизация вызывающего абонента. Service authorization level, in which a caller is authorized.

Уровень сообщения, в котором WCF проверяет допустимость сообщения и выполняет проверку подлинности вызывающей стороны. Message level, in which WCF checks for message validity and authenticates the caller.

Можно проверить оба уровня аудита на успех или сбой, который называется поведением аудита. You can check both audit levels for success or failure, which is known as the audit behavior.

Расположение журнала аудита Audit Log Location

После определения уровня и поведения аудита, вы (или администратор) можете задать расположение журнала аудита. Once you determine an audit level and behavior, you (or an administrator) can specify a location for the audit log. Доступны три варианта: журнал по умолчанию, журнал приложения и журнал безопасности. The three choices include: Default, Application, and Security. Если задан журнал по умолчанию, фактический журнал зависит от используемой системы и от того, поддерживает ли система запись в журнал безопасности. When you specify Default, the actual log depends on which system you are using and whether the system supports writing to the security log. Дополнительные сведения см. в подразделе «операционная система» далее в этом разделе. For more information, see the «Operating System» section later in this topic.

Для записи в журнал безопасности требуются привилегии SeAuditPrivilege . To write to the Security log requires the SeAuditPrivilege . По умолчанию этой привилегией обладают только учетные записи Local System и Network Service. By default, only Local System and Network Service accounts have this privilege. Для управления функциями read и delete журнала безопасности требуются привилегии SeSecurityPrivilege . To manage the Security log functions read and delete requires the SeSecurityPrivilege . По умолчанию эту привилегию имеют только администраторы. By default, only administrators have this privilege.

В отличие от этого авторизованные пользователи могут производить чтение и запись в журнал приложений. In contrast, authenticated users can read and write to the Application log. По умолчанию Windows XP записывает события аудита в журнал приложений. Windows XP writes audit events to the Application log by default. Этот журнал может также содержать персональный сведения, видимые всем авторизованным пользователям. The log can also contain personal information that is visible to all authenticated users.

Подавление сбоев аудита Suppressing Audit Failures

При аудите можно также выбрать, следует ли подавлять сбои аудита. Another option during auditing is whether to suppress any audit failure. По умолчанию сбой аудита не влияет на приложение. By default, an audit failure does not affect an application. Однако при необходимости можно задать для этого параметра значение false , что приводит к возникновению исключения. If required, however, you can set the option to false , which causes an exception to be thrown.

Программирование аудита Programming Auditing

Поведение аудита можно задавать либо путем программирования, либо через конфигурацию. You can specify auditing behavior either programmatically or through configuration.

Классы аудита Auditing Classes

В приведенной ниже таблице описаны классы и свойства, используемые для программирования поведения аудита. The following table describes the classes and properties used to program auditing behavior.

Class Class	Описание Description
ServiceSecurityAuditBehavior	Позволяет задавать параметры аудита в виде поведения службы. Enables setting options for auditing as a service behavior.
AuditLogLocation	Перечисление для задания журнала, в который требуется производить запись. Enumeration to specify which log to write to. Предусмотрены значения Default, Application и Security. The possible values are Default, Application, and Security. Если выбрано значение Default, фактическое расположение журнала определяется операционной системой. When you select Default, the operating system determines the actual log location. См. подраздел «Выбор журнала приложения или журнала безопасности» ниже в этом разделе. See the «Application or Security Event Log Choice» section later in this topic.
MessageAuthenticationAuditLevel	Задает тип событий проверки подлинности сообщений для аудита на уровне сообщения. Specifies which types of message authentication events are audited at the message level. Предусмотрены варианты None , Failure , Success и SuccessOrFailure . The choices are None , Failure , Success , and SuccessOrFailure .
ServiceAuthorizationAuditLevel	Задает тип событий авторизации службы для аудита на уровне службы. Specifies which types of service authorization events are audited at the service level. Предусмотрены варианты None , Failure , Success и SuccessOrFailure . The choices are None , Failure , Success , and SuccessOrFailure .
SuppressAuditFailure	Задает, что происходит с запросом клиента в случае сбоя аудита. Specifies what happens to the client request when auditing fails. Например, если служба пытается произвести запись в журнал безопасности, но не имеет привилегий SeAuditPrivilege . For example, when the service attempts to write to the security log, but does not have SeAuditPrivilege . Значение по умолчанию true означает, что сбои игнорируются и запрос клиента обрабатывается обычным образом. The default value of true indicates that failures are ignored, and the client request is processed normally.

Пример настройки приложения для регистрации событий аудита см. в разделе как проводить аудит событий безопасности. For an example of setting up an application to log audit events, see How to: Audit Security Events.

Конфигурация Configuration

Можно также использовать конфигурацию для указания поведения аудита, добавив в . You can also use configuration to specify auditing behavior by adding a under the . Необходимо добавить элемент в, как показано в следующем коде. You must add the element under a as shown in the following code.

Если аудит включен и параметр auditLogLocation не задан, для систем, поддерживающих запись в журнал безопасности, по умолчанию используется журнал «Security»; в противном случае используется журнал «Application». If auditing is enabled and an auditLogLocation is not specified, the default log name is «Security» log for the platform supporting writing to the Security log; otherwise, it is «Application» log. Запись в журнал безопасности поддерживают только операционные системы Windows Server 2003 и Windows Vista. Only the Windows Server 2003 and Windows Vista operating systems support writing to the Security log. Дополнительные сведения см. в подразделе «операционная система» далее в этом разделе. For more information, see the «Operating System» section later in this topic.

Соображения безопасности Security Considerations

Если злоумышленник знает о том, что включен аудит, он может отправить недопустимые сообщения, приводящие к внесению записей аудита в журнал. If a malicious user knows that auditing is enabled, that attacker can send invalid messages that cause audit entries to be written. Если это приводит к заполнению журнала аудита, система аудита дает сбой. If the audit log is filled in this manner, the auditing system fails. Для решения этой проблемы задайте свойству SuppressAuditFailure значение true и используйте свойства средства «Просмотр событий» для управления поведением аудита. To mitigate this, set the SuppressAuditFailure property to true and use the properties of the Event Viewer to control the auditing behavior.

События аудита, записываемые в журнал приложений в Windows XP, видимы любому пользователю, прошедшему проверку подлинности. Audit events that are written to the Application Log on Windows XP are visible to any authenticated user.

Выбор журнала событий приложения или журнала событий безопасности Choosing Between Application and Security Event Logs

В приведенной ниже таблице приведены сведения, помогающие выбрать журнал для записи событий — журнал событий приложения или журнал событий безопасности. The following tables provide information to help you choose whether to log into the Application or the Security event log.

Операционная система Operating System

система System	Журнал приложений Application log	Журнал безопасности Security log
Windows XP SP2 или более поздней версии Windows XP SP2 or later	Поддерживается Supported	Не поддерживается Not supported
Windows Server 2003 с пакетом обновления 1 (SP1) и Windows Vista Windows Server 2003 SP1 and Windows Vista	Поддерживается Supported	Контекст потока должен обладать привилегиями SeAuditPrivilege Thread context must possess SeAuditPrivilege

Прочие факторы Other Factors

В дополнение к операционной системе, в следующей таблице описываются другие параметры, влияющие на разрешение регистрации. In addition to the operating system, the following table describes other settings that control the enablement of logging.

Аудит события входа Audit logon events

Область применения Applies to

Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.

События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.

Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.

Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.

Настройка этого параметра аудита Configure this audit setting

Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.

События для логотипа Logon events	Описание Description
4624 4624	Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below.
4625 4625	Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password.
4634 4634	Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user.
4647 4647	Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process.
4648 4648	Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user.
4779 4779	Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off.

При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.