Аудит создания процессов Audit Process Creation

Область применения Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Процесс аудита определяет, генерирует ли операционная система события аудита при создании (запускается). Audit Process Creation determines whether the operating system generates audit events when a process is created (starts).

Эти события аудита помогают отслеживать активность пользователей и понимать, как используется компьютер. These audit events can help you track user activity and understand how a computer is being used. Сведения включают имя программы или пользователя, создав процесс. Information includes the name of the program or the user that created the process.

Объем события: от низкого до среднего в зависимости от использования системы. Event volume: Low to Medium, depending on system usage.

Эта подкатегория позволяет проводить аудит событий, созданных при его создания или запускается. This subcategory allows you to audit events generated when a process is created or starts. Также проводится аудит имени приложения и пользователя, создав процесс. The name of the application and user that created the process is also audited.

Тип компьютера Computer Type	Общий успех General Success	Общий сбой General Failure	Более успешный успех Stronger Success	Более сильное сбой Stronger Failure	Комментарии Comments
Контроллер домена Domain Controller	Да Yes	Нет No	Да Yes	Нет No	Обычно полезно собирать сведения об аудите успешности для этой подкатегории для экспертных исследований, чтобы найти информацию о том, кто, когда и с помощью каких параметров\параметры запустил конкретный процесс. It is typically useful to collect Success auditing information for this subcategory for forensic investigations, to find information who, when and with which options\parameters ran specific process. Кроме того, вы можете анализировать события создания процессов для использования учетных данных с повышенными полномочиями, потенциальных вредоносных имен процессов и так далее. Additionally, you can analyse process creation events for elevated credentials use, potential malicious process names and so on. Объем событий обычно имеет средний уровень в зависимости от действий процесса на компьютере. The event volume is typically medium-high level, depending on the process activity on the computer. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.
Сервер-член Member Server	Да Yes	Нет No	Да Yes	Нет No	Обычно полезно собирать сведения об аудите успешности для этой подкатегории для экспертных исследований, чтобы найти информацию о том, кто, когда и с помощью каких параметров\параметры запустил конкретный процесс. It is typically useful to collect Success auditing information for this subcategory for forensic investigations, to find information who, when and with which options\parameters ran specific process. Кроме того, вы можете анализировать события создания процессов для использования учетных данных с повышенными полномочиями, потенциальных вредоносных имен процессов и так далее. Additionally, you can analyse process creation events for elevated credentials use, potential malicious process names and so on. Объем событий обычно имеет средний уровень в зависимости от действий процесса на компьютере. The event volume is typically medium-high level, depending on the process activity on the computer. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.
Workstation Workstation	Да Yes	Нет No	Да Yes	Нет No	Обычно полезно собирать сведения об аудите успешности для этой подкатегории для экспертных исследований, чтобы найти информацию о том, кто, когда и с помощью каких параметров\параметры запустил конкретный процесс. It is typically useful to collect Success auditing information for this subcategory for forensic investigations, to find information who, when and with which options\parameters ran specific process. Кроме того, вы можете анализировать события создания процессов для использования учетных данных с повышенными полномочиями, потенциальных вредоносных имен процессов и так далее. Additionally, you can analyse process creation events for elevated credentials use, potential malicious process names and so on. Объем событий обычно имеет средний уровень в зависимости от действий процесса на компьютере. The event volume is typically medium-high level, depending on the process activity on the computer. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.

Список событий: Events List:

4688(S): создан новый процесс. 4688(S): A new process has been created.

4696(S): для обработки назначен основной маркер. 4696(S): A primary token was assigned to process.

Базовые политики аудита безопасности Basic security audit policies

Область применения Applies to

Перед внедрением аудита необходимо выбрать политику аудита. Before you implement auditing, you must decide on an auditing policy. Базовая политика аудита определяет категории событий, связанных с безопасностью, которые необходимо проверять. A basic audit policy specifies categories of security-related events that you want to audit. При первой установке этой версии Windows все категории аудита отключаются. When this version of Windows is first installed, all auditing categories are disabled. Включив различные категории событий аудита, вы можете реализовать политику аудита, которая отвечает требованиям безопасности вашей организации. By enabling various auditing event categories, you can implement an auditing policy that suits the security needs of your organization.

Категории событий, которые можно выбрать для аудита: The event categories that you can choose to audit are:

• Аудит событий входа в систему Audit account logon events
• Аудит управления учетными записями Audit account management
• Аудит доступа к службе каталогов Audit directory service access
• Аудит события входа Audit logon events
• Аудит доступа к объектам Audit object access
• Аудит изменения политики Audit policy change
• Аудит использования привилегий Audit privilege use
• Аудит отслеживания процессов Audit process tracking
• Аудит системных событий Audit system events

При выборе аудита доступа к объектам в рамках политики аудита необходимо включить категорию доступа службы каталогов аудита (для объектов аудита на контроллере домена) или категорию доступа к объектам аудита (для объектов аудита на рядовом сервере или рабочей станции). If you choose to audit access to objects as part of your audit policy, you must enable either the audit directory service access category (for auditing objects on a domain controller), or the audit object access category (for auditing objects on a member server or workstation). После включения категории доступа к объекту можно указать типы доступа, которые необходимо проверять для каждой группы или пользователя. Once you have enabled the object access category, you can specify the types of access you want to audit for each group or user.

Аудит события входа Audit logon events

Область применения Applies to

Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.

События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.

Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.

Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.

Настройка этого параметра аудита Configure this audit setting

Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.

События для логотипа Logon events	Описание Description
4624 4624	Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below.
4625 4625	Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password.
4634 4634	Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user.
4647 4647	Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process.
4648 4648	Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user.
4779 4779	Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off.

При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.

Создание аудитов безопасности Generate security audits

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности «Создание аудита безопасности». Describes the best practices, location, values, policy management, and security considerations for the Generate security audits security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие учетные записи могут использоваться процессом для создания записей аудита в журнале событий безопасности. This policy setting determines which accounts can be used by a process to generate audit records in the security event log. Служба подсистемы локального органа безопасности (LSASS) записывает события в журнал. The Local Security Authority Subsystem Service (LSASS) writes events to the log. Сведения в журнале событий безопасности можно использовать для трассировки несанкционированного доступа к устройству. You can use the information in the security event log to trace unauthorized device access.

Константа: SeAuditPrivilege Constant: SeAuditPrivilege

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Локализованная служба Local Service
• Сетовая служба Network Service

Рекомендации Best practices

• Так как журнал аудита потенциально может быть вектором атаки при компрометации учетной записи, убедитесь, что только учетные записи локальной и сетевой служб имеют право на создание аудитов безопасности, которые им назначены. **** Because the audit log can potentially be an attack vector if an account is compromised, ensure that only the Local Service and Network Service accounts have the Generate security audits user right assigned to them.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию этот параметр имеет значение Local Service and Network Service на контроллерах домена и автономных серверах. By default, this setting is Local Service and Network Service on domain controllers and stand-alone servers.

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Локализованная служба Local Service Сетовая служба Network Service
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Локализованная служба Local Service Сетовая служба Network Service
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings	Локализованная служба Local Service Сетовая служба Network Service
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Локализованная служба Local Service Сетовая служба Network Service
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Локализованная служба Local Service Сетовая служба Network Service

Управление политикой Policy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.

Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Неправильное использование этого права пользователя может привести к генерации многих событий аудита, потенциально скрывая признаки атаки или вызывая отказ в обслуживании (DoS), если аудит: немедленное завершение работы системы, если не удается занося в журнал параметр политики безопасности аудита безопасности. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial-of-service (DoS) if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Злоумышленник может использовать учетные записи, которые могут записываться в журнал безопасности, чтобы заполнить этот журнал бессмысленными событиями. A malicious user could use accounts that can write to the Security log to fill that log with meaningless events. Если компьютер настроен для перезаписи событий по мере необходимости, злоумышленники могут использовать этот метод, чтобы удалить признаки своих несанкционированных действий. If the computer is configured to overwrite events as needed, malicious users could use this method to remove evidence of their unauthorized activities. Если компьютер настроен на завершение работы, когда не удается записать данные в журнал безопасности и не настроен на автоматическое создание архива файлов журнала, этот метод можно использовать для создания условия DoS. If the computer is configured to shut down when it is unable to write to the Security log, and it is not configured to automatically back up the log files, this method could be used to create a DoS condition.

Противодействие Countermeasure

Убедитесь, что только учетные записи **** локальных и сетевых служб имеют право на создание аудитов безопасности, которые им назначены. Ensure that only the Local Service and Network Service accounts have the Generate security audits user right assigned to them.

Возможное влияние Potential impact

Нет. None. Настройка по умолчанию ограничивает права пользователя «Создание аудитов безопасности» на учетные записи локальной службы и сетевой службы. Restricting the Generate security audits user right to the Local Service and Network Service accounts is the default configuration.