Главная » Linux

Microsoft windows security auditing как отключить

Содержание
  1. Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности. Audit: Shut down system immediately if unable to log security audits
  2. Справочные материалы Reference
  3. Возможные значения Possible values
  4. Рекомендации Best practices
  5. Расположение Location
  6. Значения по умолчанию Default values
  7. Управление политикой Policy management
  8. Необходимость перезапуска Restart requirement
  9. Групповая политика Group Policy
  10. Вопросы безопасности Security considerations
  11. Уязвимость Vulnerability
  12. Противодействие Countermeasure
  13. Возможное влияние Potential impact
  14. Как отключить ведение журнала безопасности с помощью команды AuditPol?
  15. Управление журналом аудита и безопасности Manage auditing and security log
  16. Справочные материалы Reference
  17. Возможные значения Possible values
  18. Рекомендации Best practices
  19. Location Location
  20. Значения по умолчанию Default values
  21. Управление политикой Policy management
  22. Групповая политика Group Policy
  23. Вопросы безопасности Security considerations
  24. Уязвимость Vulnerability
  25. Противодействие Countermeasure
  26. Возможное влияние Potential impact

Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности. Audit: Shut down system immediately if unable to log security audits

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, методы управления и вопросы безопасности для аудита: немедленное завершение работы системы, если не удается занося в журнал параметр политики безопасности аудита безопасности. Describes the best practices, location, values, management practices, and security considerations for the Audit: Shut down system immediately if unable to log security audits security policy setting.

Справочные материалы Reference

Аудит: немедленное завершение работы системы, если не удается занося в журнал параметр политики аудита безопасности, определяет, будет ли система отключена, если она не может занося в журнал события безопасности. The Audit: Shut down system immediately if unable to log security audits policy setting determines whether the system shuts down if it is unable to log security events. Этот параметр политики является требованием для сертификации доверенных критериев оценки компьютерной системы (TCSEC)-C2 и общих критериев, чтобы предотвратить события аудита, если система аудита не может зайти в журнал этих событий. This policy setting is a requirement for Trusted Computer System Evaluation Criteria (TCSEC)-C2 and Common Criteria certification to prevent auditable events from occurring if the audit system is unable to log those events. Корпорация Майкрософт решила выполнить это требование, остановив систему и отобразив сообщение «Остановить» в случае сбоя системы аудита. Microsoft has chosen to meet this requirement by halting the system and displaying a Stop message in the case of a failure of the auditing system. Включение этого параметра политики останавливает работу системы, если аудит безопасности не может быть зарегистрирован по какой-либо причине. Enabling this policy setting stops the system if a security audit cannot be logged for any reason. Как правило, событие не записывалось в журнал, когда журнал аудита безопасности заполнен, а значением метода хранения для журнала безопасности является «Не перезаписывать события «Не перезаписывать» (очистить журнал вручную) или перезаписывать события по дням. Typically, an event fails to be logged when the security audit log is full and the value of Retention method for security log is Do not overwrite events (clear log manually) or Overwrite events by days.

Аудит: немедленное завершение работы системы, если не удается зайти в журнал аудитов безопасности с установленным «Включено», если журнал безопасности заполнен и существующая запись не может быть перезаписана, появится следующее сообщение о остановке: **** With Audit: Shut down system immediately if unable to log security audits set to Enabled, if the security log is full and an existing entry cannot be overwritten, the following Stop message appears:

STOP: C0000244 STOP: C0000244

Не удалось создать аудит безопасности. An attempt to generate a security audit failed.

Для восстановления необходимо войти в систему, архивировать журнал (необязательно), очистить журнал и сбросить этот параметр при желании. To recover, you must log on, archive the log (optional), clear the log, and reset this option as desired.

Если компьютеру не удается записать события в журнал безопасности, критические свидетельства или важные сведения об устранении неполадок могут быть недоступны для проверки после инцидента безопасности. If the computer is unable to record events to the security log, critical evidence or important troubleshooting information might not be available for review after a security incident.

Возможные значения Possible values

  • Enabled Enabled
  • Отключено Disabled
  • Не определено Not defined

Рекомендации Best practices

  • В зависимости от требований аудита безопасности можно включить «Аудит: завершение работы системы немедленно», если не удается зафиксировать параметр аудита безопасности, чтобы обеспечить запись сведений аудита безопасности для проверки. Depending on your security audit requirements, you can enable the Audit: Shut down system immediately if unable to log security audits setting to ensure that security auditing information is captured for review. Однако включение этого параметра увеличит количество зарегистрированных событий. However, enabling this setting will increase the number of events logged.
Читайте также:  Xbox приложение windows store

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO Значение по умолчанию Default value
Default Domain Policy Default Domain Policy Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings Отключено Disabled
Эффективные параметры по умолчанию для DC DC Effective Default Settings Отключено Disabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings Отключено Disabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings Отключено Disabled

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy. Административная нагрузка на включение этого параметра политики **** может быть очень высокой, особенно если для журнала безопасности также установлено правило хранения «Не перезаписывать события» (очистить журнал вручную). The administrative burden of enabling this policy setting can be very high, especially if you also set the Retention method for security log to Do not overwrite events (clear log manually). Этот параметр превращает угрозу отказа (оператор резервного копирования может запретить резервное копирование или восстановление данных) в угрозу отказа в обслуживании, так как сервер может быть принудительно отключен, если он перегружен событиями входа и другими событиями безопасности, которые записаны в журнал безопасности. This setting turns a repudiation threat (a backup operator could deny that they backed up or restored data) into a denial-of-service threat, because a server can be forced to shut down if it is overwhelmed with logon events and other security events that are written to the security log. Кроме того, так как отключение работает не корректно, возможно, что причиной неуправимого повреждения операционной системы, приложений или данных может быть неуправимый ущерб. Additionally, because the shutdown is not graceful, it is possible that irreparable damage to the operating system, applications, or data could result. Несмотря на то что файловая система NTFS гарантирует, что целостность файловой системы будет поддерживаться во время внезапного завершения работы системы, она не может гарантировать, что каждый файл данных для каждого приложения будет по-прежнему в форме, которую можно использовать при перезапуске системы. Although the NTFS file system will guarantee that the file system’s integrity will be maintained during a sudden system shutdown, it cannot guarantee that every data file for every application will still be in a usable form when the system is restarted.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска компьютера, если они сохраняются локально или распространяются с помощью групповой политики. Changes to this policy become effective without a computer restart when they are saved locally or distributed through Group Policy.

Групповая политика Group Policy

Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями. Modifying this setting may affect compatibility with clients, services, and applications.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Если компьютеру не удается записать события в журнал событий безопасности, критические свидетельства или важные сведения об устранении неполадок могут быть недоступны для проверки после инцидента безопасности. If the computer is unable to record events to the security event log, critical evidence or important troubleshooting information may not be available for review after a security incident. Кроме того, злоумышленник может создать большой объем событий журнала событий безопасности, чтобы намеренно принудительно закрыть работу. Also, an attacker could potentially generate a large volume of security event log events to purposely force a shutdown.

Противодействие Countermeasure

Включит аудит: немедленно отключит систему, если не удается зафиксировать параметр аудита безопасности, чтобы убедиться, что данные аудита безопасности будут фиксироваться для проверки. Enable the Audit: Shut down system immediately if unable to log security audits setting to ensure that security auditing information is captured for review.

Возможное влияние Potential impact

Если включить этот параметр политики, административная нагрузка **** может быть значительной, особенно если также настроить метод хранения для журнала безопасности таким образом, чтобы события не перезаписывались (очищать журнал вручную). If you enable this policy setting, the administrative burden can be significant, especially if you also configure the Retention method for the Security log to Do not overwrite events (clear log manually). Такая конфигурация приводит к тому, что угроза отказа (оператор резервного копирования может запретить резервное копирование или восстановление данных) становится уязвимостью типа «отказ в обслуживании» (DoS), так как сервер может быть принудительно отключен, если он перегружен событиями входа и другими событиями безопасности, которые записаны в журнал событий безопасности. This configuration causes a repudiation threat (a backup operator could deny that they backed up or restored data) to become a denial of service (DoS) vulnerability because a server could be forced to shut down if it is overwhelmed with logon events and other security events that are written to the security event log. Кроме того, из-за резкого завершения работы может быть причинен неуправимый ущерб операционной системе, приложениям или данным. Also, because the shutdown is abrupt, it is possible that irreparable damage to the operating system, applications, or data could result. Несмотря на то что файловая система NTFS сохраняет свою целостность при этом типе завершения работы компьютера, нет гарантии, что каждый файл данных для каждого приложения будет по-прежнему работать в форме, которую можно использовать при перезапуске устройства. Although the NTFS file system maintains its integrity when this type of computer shutdown occurs, there is no guarantee that every data file for every application will still be in a usable form when the device restarts.

Как отключить ведение журнала безопасности с помощью команды AuditPol?

Как остановить ведение журнала событий?
Здравствуйте! Сразу скажу что я чайник)) Мне бы хотелось узнать, как отключить ведение журнала.

Ведение журнала лаборатории
Добрый день. Для оптимизации работы лаборатории, а именно уменьшения писанины и лучшей.

Ведение журнала сообщений о ошибках
Здравствуйте! Мне нужно реализовать функцию сообщения об ошибке ( ‘Report An Error’ ). На.

Роутер TL-WR1042ND + ведение журнала по аналогии в Журналом в веб-браузерах
Здравствуйте. Для выхода в сеть Интернет из дома применяется роутер TL-WR1042ND. Каким образом.

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.

Как отключить сохранение файлов журнала Windows в 8.1?
Как отключить сохранение файлов журнала Windows в 8.1 и «недавние документы»?

Ведение журнала учета продаж Алкоголя в EXEL 2011 для mac
Добрый день. Может ли кто то мне помочь с журналом? Опишу расклад: Каждый продавец, когда.

Как отключить навязчивое сообщение о безопасности?
Последнее время при открытии любого сайта, даже почты «достали» эти сообщения. Например, при.

Как отключить Центр обеспечения безопасности
Версия Виндовса 10(1803) Не могу отключить Цент обеспечение безопасности ! Удалил обновы .

Управление журналом аудита и безопасности Manage auditing and security log

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности «Управление аудитом и журналом безопасности». Describes the best practices, location, values, policy management, and security considerations for the Manage auditing and security log security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие пользователи могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и ключи реестра. This policy setting determines which users can specify object access audit options for individual resources such as files, Active Directory objects, and registry keys. Эти объекты указывают свои системные списки управления доступом (SACL). These objects specify their system access control lists (SACL). Пользователь, которому назначено это право, также может просмотреть и очистить журнал безопасности в окне просмотра событий. A user who is assigned this user right can also view and clear the Security log in Event Viewer. Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more info about the Object Access audit policy, see Audit object access.

Константа: SeSecurityPrivilege Constant: SeSecurityPrivilege

Возможные значения Possible values

  • Определяемый пользователей список учетных записей User-defined list of accounts
  • Администраторы Administrators
  • Не определено Not Defined

Рекомендации Best practices

  1. Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.
  2. Как правило, назначать это право пользователю группам, кроме администраторов, не требуется. Generally, assigning this user right to groups other than Administrators is not necessary.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию этот параметр является администратором на контроллерах домена и на автономных серверах. By default this setting is Administrators on domain controllers and on stand-alone servers.

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO Значение по умолчанию Default value
Default Domain Policy Default Domain Policy Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy Администраторы Administrators
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings Администраторы Administrators
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings Администраторы Administrators
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings Администраторы Administrators
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings Администраторы Administrators

Управление политикой Policy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.

Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Аудит доступа к объектам не выполняется, если их не включить с помощью редактора локальных групповых политик, консоли управления групповыми политиками (GPMC) или средства командной строки Auditpol. Audits for object access are not performed unless you enable them by using the Local Group Policy Editor, the Group Policy Management Console (GPMC), or the Auditpol command-line tool.

Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more information about the Object Access audit policy, see Audit object access.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

  1. Параметры локальной политики Local policy settings
  2. Параметры политики сайта Site policy settings
  3. Параметры политики домена Domain policy settings
  4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Любой пользователь с правом на управление аудитом и журналом безопасности может очистить журнал безопасности, чтобы удалить важные признаки несанкционированной деятельности. Anyone with the Manage auditing and security log user right can clear the Security log to erase important evidence of unauthorized activity.

Противодействие Countermeasure

Убедитесь, что только у локальной группы администраторов есть право на управление аудитом и журналом безопасности. Ensure that only the local Administrators group has the Manage auditing and security log user right.

Возможное влияние Potential impact

Настройка по умолчанию ограничивает права пользователя журнала аудита и безопасности только локальной группой администраторов. Restricting the Manage auditing and security log user right to the local Administrators group is the default configuration.

Предупреждение: Если группе, кроме локальной группы администраторов, назначено это право пользователя, удаление этого права пользователя может привести к проблеме производительности в других приложениях. Warning: If groups other than the local Administrators group have been assigned this user right, removing this user right might cause performance issues with other applications. Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.

Оцените статью
© 2024 Советы по настройке компьютера