Главная » Linux

Настройка политики аудита windows 10

Содержание
  1. Параметры расширенной политики аудита безопасности Advanced security audit policy settings
  2. Базовые политики аудита безопасности Basic security audit policies
  3. Аудит изменения политики Audit policy change
  4. Настройка этого параметра аудита Configure this audit setting
  5. Аудит изменения политики авторизации Audit Authorization Policy Change

Параметры расширенной политики аудита безопасности Advanced security audit policy settings

Область применения Applies to

Предоставляет сведения о расширенных параметрах политики аудита безопасности, доступных в Windows, и событиях аудита, которые они создают. Provides information about the advanced security audit policy settings that are available in Windows and the audit events that they generate.

Параметры политики аудита безопасности в параметрах безопасности\Advanced Audit Policy Configuration могут помочь организации в аудите соответствия важным бизнес-правилам и правилам, связанным с безопасностью, путем отслеживания точно определенных действий, например: The security audit policy settings under Security Settings\Advanced Audit Policy Configuration can help your organization audit compliance with important business-related and security-related rules by tracking precisely defined activities, such as:

  • Администратор группы изменил параметры или данные на серверах, содержащих финансовую информацию. A group administrator has modified settings or data on servers that contain finance information.
  • Сотрудник в определенной группе получил доступ к важному файлу. An employee within a defined group has accessed an important file.
  • Правильный список управления доступом к системе (SACL) применяется к каждому файлу, папке или разделу реестра на компьютере или в файловом папке в качестве проверяемой защиты от незащищенного доступа. The correct system access control list (SACL) is applied to every file and folder or registry key on a computer or file share as a verifiable safeguard against undetected access.

Доступ к этим настройкам политики аудита можно получить с помощью оснастки «Локализованная политика безопасности» (secpol.msc) на локальном устройстве или с помощью групповой политики. You can access these audit policy settings through the Local Security Policy snap-in (secpol.msc) on the local device or by using Group Policy.

Эти параметры политики «Расширенный аудит» позволяют выбирать только поведение, которое требуется отслеживать. These Advanced Audit policy settings allow you to select only the behaviors that you want to monitor. Вы можете исключить результаты аудита для поведения, которое вас мало беспокоит, или поведения, создающее чрезмерное количество записей журнала. You can exclude audit results for behaviors that are of little or no concern to you, or behaviors that create an excessive number of log entries. Кроме того, поскольку политики аудита безопасности можно применять с помощью объектов групповой политики домена, параметры политики аудита можно изменять, тестировать и развертывать для выбранных пользователей и групп с относительной простотой. In addition, because security audit policies can be applied by using domain Group Policy Objects, audit policy settings can be modified, tested, and deployed to selected users and groups with relative simplicity.

Базовые политики аудита безопасности Basic security audit policies

Область применения Applies to

Перед внедрением аудита необходимо выбрать политику аудита. Before you implement auditing, you must decide on an auditing policy. Базовая политика аудита определяет категории событий, связанных с безопасностью, которые необходимо проверять. A basic audit policy specifies categories of security-related events that you want to audit. При первой установке этой версии Windows все категории аудита отключаются. When this version of Windows is first installed, all auditing categories are disabled. Включив различные категории событий аудита, вы можете реализовать политику аудита, которая отвечает требованиям безопасности вашей организации. By enabling various auditing event categories, you can implement an auditing policy that suits the security needs of your organization.

Категории событий, которые можно выбрать для аудита: The event categories that you can choose to audit are:

  • Аудит событий входа в систему Audit account logon events
  • Аудит управления учетными записями Audit account management
  • Аудит доступа к службе каталогов Audit directory service access
  • Аудит события входа Audit logon events
  • Аудит доступа к объектам Audit object access
  • Аудит изменения политики Audit policy change
  • Аудит использования привилегий Audit privilege use
  • Аудит отслеживания процессов Audit process tracking
  • Аудит системных событий Audit system events
Читайте также:  Matrox g200e driver linux

При выборе аудита доступа к объектам в рамках политики аудита необходимо включить категорию доступа службы каталогов аудита (для объектов аудита на контроллере домена) или категорию доступа к объектам аудита (для объектов аудита на рядовом сервере или рабочей станции). If you choose to audit access to objects as part of your audit policy, you must enable either the audit directory service access category (for auditing objects on a domain controller), or the audit object access category (for auditing objects on a member server or workstation). После включения категории доступа к объекту можно указать типы доступа, которые необходимо проверять для каждой группы или пользователя. Once you have enabled the object access category, you can specify the types of access you want to audit for each group or user.

Аудит изменения политики Audit policy change

Область применения Applies to

Определяет, следует ли проверять каждый инцидент изменения политик назначения прав пользователей, политик аудита или политик доверия. Determines whether to audit every incident of a change to user rights assignment policies, audit policies, or trust policies.

Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешном изменении политик назначения прав пользователей, политик аудита или политик доверия. Success audits generate an audit entry when a change to user rights assignment policies, audit policies, or trust policies is successful. Аудит сбоев создает запись аудита при сбое изменения политик назначения прав пользователей, политик аудита или политик доверия. Failure audits generate an audit entry when a change to user rights assignment policies, audit policies, or trust policies fails.

Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

По умолчанию: Default:

  • Успех на контроллерах домена. Success on domain controllers.
  • Аудит на серверах-членах не проводится. No auditing on member servers.

Настройка этого параметра аудита Configure this audit setting

Этот параметр безопасности можно настроить в области Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита. You can configure this security setting under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.

Аудит изменения политики авторизации Audit Authorization Policy Change

Область применения Applies to

  • Windows 10 Windows 10
  • Windows Server 2016 Windows Server 2016

Изменение политики авторизации аудита позволяет проверять назначение и удаление прав пользователей в политиках прав пользователей, изменения в разрешении объекта маркера безопасности, изменения атрибутов ресурсов и изменения политики центрального доступа для объектов файловой системы. Audit Authorization Policy Change allows you to audit assignment and removal of user rights in user right policies, changes in security token object permission, resource attributes changes and Central Access Policy changes for file system objects.

Тип компьютера Computer Type Общий успех General Success Общий сбой General Failure Более успешный успех Stronger Success Более сильное сбой Stronger Failure Комментарии Comments
Контроллер домена Domain Controller IF IF Нет No IF IF Нет No IF — с помощью аудита успешности для этой подкатегории вы можете получить сведения, связанные с изменениями в политиках прав пользователей или изменениями атрибутов ресурсов или политики центрального доступа, примененных к объектам файловой системы. IF – With Success auditing for this subcategory, you can get information related to changes in user rights policies, or changes of resource attributes or Central Access Policy applied to file system objects.
Однако если вы используете приложение или системную службу, которая вносит изменения в привилегии системы с помощью API AdjustPrivilegesToken, мы не рекомендуем аудит успешности из-за большого объема события «4703(S): право пользователя было настроено», которое может быть сформировано. However, if you are using an application or system service that makes changes to system privileges through the AdjustPrivilegesToken API, we do not recommend Success auditing because of the high volume of event “4703(S): A user right was adjusted” that may be generated. В Windows 10 событие 4703 создается приложениями или службами, которые динамически настраивают привилегии маркеров. As of Windows 10, event 4703 is generated by applications or services that dynamically adjust token privileges. Примером такого приложения является Microsoft Endpoint Configuration Manager, который создает запросы WMI с повторяющимися интервалами и быстро создает большое количество событий 4703 (при этом действие WMI указано как исходящее от **svchost.exe). ** An example of such an application is Microsoft Endpoint Configuration Manager, which makes WMI queries at recurring intervals and quickly generates a large number of 4703 events (with the WMI activity listed as coming from svchost.exe).
Если одно из ваших приложений или служб создает большое количество событий 4703, может оказаться, что ваше программное обеспечение управления событиями имеет логику фильтрации, которая может автоматически отменить повторяющиеся события, что упростит работу с аудитом успешности для этой категории. If one of your applications or services is generating a large number of 4703 events, you might find that your event-management software has filtering logic that can automatically discard the recurring events, which would make it easier to work with Success auditing for this category.
В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.
Сервер-член Member Server IF IF Нет No IF IF Нет No IF — с помощью аудита успешности для этой подкатегории вы можете получить сведения, связанные с изменениями в политиках прав пользователей или изменениями атрибутов ресурсов или политики центрального доступа, примененных к объектам файловой системы. IF – With Success auditing for this subcategory, you can get information related to changes in user rights policies, or changes of resource attributes or Central Access Policy applied to file system objects.
Однако если вы используете приложение или системную службу, которая вносит изменения в привилегии системы с помощью API AdjustPrivilegesToken, мы не рекомендуем аудит успешности из-за большого объема события «4703(S): право пользователя было настроено», которое может быть сформировано. However, if you are using an application or system service that makes changes to system privileges through the AdjustPrivilegesToken API, we do not recommend Success auditing because of the high volume of event “4703(S): A user right was adjusted” that may be generated. В Windows 10 событие 4703 создается приложениями или службами, которые динамически настраивают привилегии маркеров. As of Windows 10, event 4703 is generated by applications or services that dynamically adjust token privileges. Примером такого приложения является Microsoft Endpoint Configuration Manager, который создает запросы WMI с повторяющимися интервалами и быстро создает большое количество событий 4703 (при этом действие WMI указано как исходящее от **svchost.exe). ** An example of such an application is Microsoft Endpoint Configuration Manager, which makes WMI queries at recurring intervals and quickly generates a large number of 4703 events (with the WMI activity listed as coming from svchost.exe).
Если одно из ваших приложений или служб создает большое количество событий 4703, может оказаться, что ваше программное обеспечение управления событиями имеет логику фильтрации, которая может автоматически отменить повторяющиеся события, что упростит работу с аудитом успешности для этой категории. If one of your applications or services is generating a large number of 4703 events, you might find that your event-management software has filtering logic that can automatically discard the recurring events, which would make it easier to work with Success auditing for this category.
В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.
Workstation Workstation IF IF Нет No IF IF Нет No IF — с помощью аудита успешности для этой подкатегории вы можете получить сведения, связанные с изменениями в политиках прав пользователей или изменениями атрибутов ресурсов или политики центрального доступа, примененных к объектам файловой системы. IF – With Success auditing for this subcategory, you can get information related to changes in user rights policies, or changes of resource attributes or Central Access Policy applied to file system objects.
Однако если вы используете приложение или системную службу, которая вносит изменения в привилегии системы с помощью API AdjustPrivilegesToken, мы не рекомендуем аудит успешности из-за большого объема события «4703(S): право пользователя было настроено», которое может быть сформировано. However, if you are using an application or system service that makes changes to system privileges through the AdjustPrivilegesToken API, we do not recommend Success auditing because of the high volume of event “4703(S): A user right was adjusted” that may be generated. В Windows 10 событие 4703 создается приложениями или службами, которые динамически настраивают привилегии маркеров. As of Windows 10, event 4703 is generated by applications or services that dynamically adjust token privileges. Примером такого приложения является Microsoft Endpoint Configuration Manager, который создает запросы WMI с повторяющимися интервалами и быстро создает большое количество событий 4703 (при этом действие WMI указано как исходящее от **svchost.exe). ** An example of such an application is Microsoft Endpoint Configuration Manager, which makes WMI queries at recurring intervals and quickly generates a large number of 4703 events (with the WMI activity listed as coming from svchost.exe).
Если одно из ваших приложений или служб создает большое количество событий 4703, может оказаться, что ваше программное обеспечение управления событиями имеет логику фильтрации, которая может автоматически отменить повторяющиеся события, что упростит работу с аудитом успешности для этой категории. If one of your applications or services is generating a large number of 4703 events, you might find that your event-management software has filtering logic that can automatically discard the recurring events, which would make it easier to work with Success auditing for this category.
В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.

Список событий: Events List:

4703(S): право пользователя было скорректировано. 4703(S): A user right was adjusted.

4704(S): назначено право пользователя. 4704(S): A user right was assigned.

4705(S): право пользователя удалено. 4705(S): A user right was removed.

4670(S): разрешения для объекта были изменены. 4670(S): Permissions on an object were changed.

4911(S): атрибуты ресурса объекта были изменены. 4911(S): Resource attributes of the object were changed.

Читайте также:  After cleaning the windows he went on wash the car
Оцените статью
© 2024 Советы по настройке компьютера