Главная » Linux

Что такое microsoft windows security auditing

Содержание
  1. Создание аудитов безопасности Generate security audits
  2. Справочные материалы Reference
  3. Возможные значения Possible values
  4. Рекомендации Best practices
  5. Location Location
  6. Значения по умолчанию Default values
  7. Управление политикой Policy management
  8. Групповая политика Group Policy
  9. Вопросы безопасности Security considerations
  10. Уязвимость Vulnerability
  11. Противодействие Countermeasure
  12. Возможное влияние Potential impact
  13. Аудит: аудит доступа глобальных системных объектов Audit: Audit the access of global system objects
  14. Справочные материалы Reference
  15. Возможные значения Possible values
  16. Рекомендации Best practices
  17. Расположение Location
  18. Значения по умолчанию Default values
  19. Управление политикой Policy management
  20. Необходимость перезапуска Restart requirement
  21. Групповая политика Group Policy
  22. Аудит Auditing
  23. Вопросы безопасности Security considerations
  24. Уязвимость Vulnerability
  25. Противодействие Countermeasure
  26. Возможное влияние Potential impact

Создание аудитов безопасности Generate security audits

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности «Создание аудита безопасности». Describes the best practices, location, values, policy management, and security considerations for the Generate security audits security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие учетные записи могут использоваться процессом для создания записей аудита в журнале событий безопасности. This policy setting determines which accounts can be used by a process to generate audit records in the security event log. Служба подсистемы локального органа безопасности (LSASS) записывает события в журнал. The Local Security Authority Subsystem Service (LSASS) writes events to the log. Сведения в журнале событий безопасности можно использовать для трассировки несанкционированного доступа к устройству. You can use the information in the security event log to trace unauthorized device access.

Константа: SeAuditPrivilege Constant: SeAuditPrivilege

Возможные значения Possible values

  • Определяемый пользователей список учетных записей User-defined list of accounts
  • Локализованная служба Local Service
  • Сетовая служба Network Service

Рекомендации Best practices

  • Так как журнал аудита потенциально может быть вектором атаки при компрометации учетной записи, убедитесь, что только учетные записи локальной и сетевой служб имеют право на создание аудитов безопасности, которые им назначены. **** Because the audit log can potentially be an attack vector if an account is compromised, ensure that only the Local Service and Network Service accounts have the Generate security audits user right assigned to them.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию этот параметр имеет значение Local Service and Network Service на контроллерах домена и автономных серверах. By default, this setting is Local Service and Network Service on domain controllers and stand-alone servers.

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO Значение по умолчанию Default value
Default Domain Policy Default Domain Policy Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy Локализованная служба Local Service
Сетовая служба Network Service
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings Локализованная служба Local Service
Сетовая служба Network Service
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings Локализованная служба Local Service
Сетовая служба Network Service
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings Локализованная служба Local Service
Сетовая служба Network Service
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings Локализованная служба Local Service
Сетовая служба Network Service

Управление политикой Policy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.

Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Неправильное использование этого права пользователя может привести к генерации многих событий аудита, потенциально скрывая признаки атаки или вызывая отказ в обслуживании (DoS), если аудит: немедленное завершение работы системы, если не удается занося в журнал параметр политики безопасности аудита безопасности. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial-of-service (DoS) if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

  1. Параметры локальной политики Local policy settings
  2. Параметры политики сайта Site policy settings
  3. Параметры политики домена Domain policy settings
  4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Злоумышленник может использовать учетные записи, которые могут записываться в журнал безопасности, чтобы заполнить этот журнал бессмысленными событиями. A malicious user could use accounts that can write to the Security log to fill that log with meaningless events. Если компьютер настроен для перезаписи событий по мере необходимости, злоумышленники могут использовать этот метод, чтобы удалить признаки своих несанкционированных действий. If the computer is configured to overwrite events as needed, malicious users could use this method to remove evidence of their unauthorized activities. Если компьютер настроен на завершение работы, когда не удается записать данные в журнал безопасности и не настроен на автоматическое создание архива файлов журнала, этот метод можно использовать для создания условия DoS. If the computer is configured to shut down when it is unable to write to the Security log, and it is not configured to automatically back up the log files, this method could be used to create a DoS condition.

Противодействие Countermeasure

Убедитесь, что только учетные записи **** локальных и сетевых служб имеют право на создание аудитов безопасности, которые им назначены. Ensure that only the Local Service and Network Service accounts have the Generate security audits user right assigned to them.

Возможное влияние Potential impact

Нет. None. Настройка по умолчанию ограничивает права пользователя «Создание аудитов безопасности» на учетные записи локальной службы и сетевой службы. Restricting the Generate security audits user right to the Local Service and Network Service accounts is the default configuration.

Аудит: аудит доступа глобальных системных объектов Audit: Audit the access of global system objects

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения и вопросы безопасности для аудита: аудит доступа к глобальной политике безопасности системных объектов. Describes the best practices, location, values, and security considerations for the Audit: Audit the access of global system objects security policy setting.

Справочные материалы Reference

Если этот параметр политики включается, то список управления доступом к системе по умолчанию (SACL) применяется, когда устройство создает системные объекты, такие как мьютексы, события, семахоры и устройства MS-DOS®. If you enable this policy setting, a default system access control list (SACL) is applied when the device creates system objects such as mutexes, events, semaphores, and MS-DOS® devices. Если также включить параметр аудита доступа к объектам аудита, доступ к этим системным объектам будет проверяться. If you also enable the Audit object access audit setting, access to these system objects is audited.

Глобальные системные объекты, также известные как «базовые системные объекты» или «базовые именуемые объекты», — это временные объекты ядра, имена которых были назначены приложению или системным компонентом, которые их создали. Global system objects, also known as «base system objects» or «base named objects,» are temporary kernel objects that have had names assigned to them by the application or system component that created them. Эти объекты чаще всего используются для синхронизации нескольких приложений или нескольких частей сложного приложения. These objects are most commonly used to synchronize multiple applications or multiple parts of a complex application. Поскольку они имеют имена, эти объекты имеют глобальную область действия и, следовательно, видны всем процессам на устройстве. Because they have names, these objects are global in scope and, therefore, visible to all processes on the device. Все эти объекты имеют дескриптор безопасности; но, как правило, у них нет saCL NULL. These objects all have a security descriptor; but typically, they do not have a NULL SACL. Если включить этот параметр политики и он вступает в силу во время запуска, ядро назначает SACL этим объектам при их создании. If you enable this policy setting and it takes effect at startup time, the kernel assigns a SACL to these objects when they are created.

Угроза в том, что при неправильной безопасности объект с глобально видимым именем может действовать с помощью вредоносной программы, которая знает имя объекта. The threat is that a globally visible named object, if incorrectly secured, might be acted on by a malicious program that knows the name of the object. Например, если объект синхронизации, например мьютекс, имеет плохо составленный список управления доступом на дискреционный доступ (DACL), вредоносная программа может получить доступ к этому мьютесу по имени и вызвать сбой программы, создав ее. For instance, if a synchronization object such as a mutex has a poorly constructed discretionary access control list (DACL), a malicious program can access that mutex by name and cause the program that created it to malfunction. Однако риск этого очень низкий. However, the risk of this occurring is very low.

Включение этого параметра политики может создать большое количество событий безопасности, особенно на занятых контроллерах домена и серверах приложений. Enabling this policy setting can generate a large number of security events, especially on busy domain controllers and application servers. Это может привести к медленному реагированию серверов и принудительной регистрации в журнале безопасности многочисленных событий малой важности. This might cause servers to respond slowly and force the security log to record numerous events of little significance. Аудит доступа к глобальным системным объектам — это все или ничего; нельзя отфильтровать, какие события будут записаны, а какие нет. Auditing for access to global system objects is an all-or-nothing affair; there is no way to filter which events get recorded and which do not. Даже если у организации есть ресурсы для анализа событий, созданных при включив этот параметр политики, у нее вряд ли будет исходный код или описание того, для чего используется каждый именоваемый объект; Поэтому маловероятно, что многие организации могут воспользоваться преимуществами этого параметра политики. Even if an organization has the resources to analyze events generated when this policy setting is enabled, it is unlikely to have the source code or a description of what each named object is used for; therefore, it is unlikely that many organizations could benefit from enabling this policy setting.

Возможные значения Possible values

  • Enabled Enabled
  • Отключено Disabled
  • Не определено Not defined

Рекомендации Best practices

  • Используйте параметр «Расширенный параметр политики аудита безопасности», «Аудит объекта ядра» в параметрах политики «Advanced Security Audit Policy Settings\Object Access», чтобы уменьшить количество генерируемого несвязанных событий аудита. Use the advanced security audit policy option, Audit Kernel Object in Advanced Security Audit Policy Settings\Object Access, to reduce the number of unrelated audit events that you generate.

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO Значение по умолчанию Default value
Default Domain Policy Default Domain Policy Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings Отключено Disabled
Эффективные параметры по умолчанию для DC DC Effective Default Settings Отключено Disabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings Отключено Disabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings Отключено Disabled

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Чтобы эта политика влияла на локальный или распределенный посредством групповой политики, необходима перезагрузка компьютера. A restart of the computer is required before this policy will be effective when changes to this policy are saved locally or distributed through Group Policy.

Групповая политика Group Policy

Все возможности аудита интегрированы в групповую политику. All auditing capabilities are integrated in Group Policy. Эти параметры можно настроить, развернуть и управлять ими в консоли управления групповыми политиками (GPMC) или в оснастке «Локализованная политика безопасности» для домена, сайта или подразделения. You can configure, deploy, and manage these settings in the Group Policy Management Console (GPMC) or Local Security Policy snap-in for a domain, site, or organizational unit (OU).

Аудит Auditing

Для аудита попыток доступа к глобальным системным объектам можно использовать один из двух параметров политики аудита безопасности: To audit attempts to access global system objects, you can use one of two security audit policy settings:

  • Аудит объекта ядра в параметрах политики аудита безопасности\Доступ к объектам Audit Kernel Object in Advanced Security Audit Policy Settings\Object Access
  • Аудит доступа к объектам в параметрах безопасности\Локальные политики\Политика аудита Audit object access under Security Settings\Local Policies\Audit Policy

По возможности используйте параметр «Политика аудита безопасности», чтобы уменьшить количество генерируемого несвязанных событий аудита. If possible, use the Advanced Security Audit Policy option to reduce the number of unrelated audit events that you generate.

Если параметр «Объект ядра аудита» настроен, создаются следующие события: If the Audit Kernel Object setting is configured, the following events are generated:

Код события Event ID Сообщение о событии Event message
4659 4659 Handle to an object was requested with intent to delete. A handle to an object was requested with intent to delete.
4660 4660 Объект был удален. An object was deleted.
4661 4661 Запросят handle to an object. A handle to an object was requested.
4663 4663 Предпринята попытка доступа к объекту. An attempt was made to access an object.

Если параметр «Объект ядра аудита» настроен, создаются следующие события: If the Audit Kernel Object setting is configured, the following events are generated:

Код события Event ID Сообщение о событии Event message
560 560 Доступ предоставлен существующему объекту. Access was granted to an already existing object.
562 562 Handle to an object was closed. A handle to an object was closed.
563 563 Была предпринята попытка открыть объект с намерением удалить его. An attempt was made to open an object with the intent to delete it.
**Note: **This is used by file systems when the FILE_DELETE_ON_CLOSE flag is specified in Createfile() **Note: **This is used by file systems when the FILE_DELETE_ON_CLOSE flag is specified in Createfile()
564 564 Защищенный объект был удален. A protected object was deleted.
565 565 Доступ был предоставлен существующему типу объекта. Access was granted to an already existing object type.
567 567 Использовалось разрешение, связанное с handle. A permission associated with a handle was used.
Примечание. Handle is created with certain granted permissions (Read, Write, and so on). Note: A handle is created with certain granted permissions (Read, Write, and so on). При этом создается до одного аудита для каждого из использованных разрешений. When the handle is used, up to one audit is generated for each of the permissions that was used.
569 569 Диспетчер ресурсов в диспетчере авторизации попытался создать контекст клиента. The resource manager in Authorization Manager attempted to create a client context.
570 570 Клиент попытался получить доступ к объекту. A client attempted to access an object.
Примечание. Для каждой попытки операции с объектом создается событие. Note: An event will be generated for every attempted operation on the object.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

При неправильной безопасности видимый объект с глобально видимым именем может действовать с помощью вредоносного ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ с использованием имени объекта. A globally visible named object, if incorrectly secured, could be acted upon by malicious software by using the name of the object. Например, если объект синхронизации, такой как мьютекс, имеет плохо выбранный список управления доступом на дискреционный доступ (DACL), вредоносное ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ может получить доступ к мьютексу по имени и вызвать сбой программы, создав ее. For instance, if a synchronization object such as a mutex had a poorly chosen discretionary access control list (DACL), malicious software could access that mutex by name and cause the program that created it to malfunction. Однако риск такого появления очень низкий. However, the risk of such an occurrence is very low.

Противодействие Countermeasure

Включить аудит: аудит доступа к глобальным системным объектам. Enable the Audit: Audit the access of global system objects setting.

Возможное влияние Potential impact

Если включить аудит: аудит доступа к глобальным системным объектам, можно создать большое количество событий безопасности, особенно на занятых контроллерах домена и серверах приложений. If you enable the Audit: Audit the access of global system objects setting, a large number of security events could be generated, especially on busy domain controllers and application servers. Такое событие может привести к медленному реагированию серверов и принудительной регистрации в журнале безопасности многочисленных событий малой важности. Such an occurrence could cause servers to respond slowly and force the Security log to record numerous events of little significance. Этот параметр политики можно включить или отключить, и нельзя выбрать, какие события будут записаны из этого параметра. This policy setting can only be enabled or disabled, and there is no way to choose which events are recorded from this setting. Даже организации, у которых есть ресурсы для анализа событий, созданных с помощью этого параметра политики, скорее всего, не будут иметь исходный код или описание того, для чего используется каждый именоваемый объект. Even organizations that have the resources to analyze events that are generated by this policy setting are not likely to have the source code or a description of what each named object is used for. Поэтому большинству организаций вряд ли удастся воспользоваться этим параметром политики. Therefore, it is unlikely that most organizations would benefit by enabling this policy setting. Чтобы уменьшить количество созданных событий аудита, используйте политику расширенных аудитов. To reduce the number of audit events generated, use the advanced audit policy.

Читайте также:  Help on command linux
Оцените статью
© 2024 Советы по настройке компьютера