- Управление журналом аудита и безопасности Manage auditing and security log
- Справочные материалы Reference
- Возможные значения Possible values
- Рекомендации Best practices
- Location Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Групповая политика Group Policy
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Возможное влияние Potential impact
- Сбор журналов событий аудита Windows Information Protection (WIP) How to collect Windows Information Protection (WIP) audit event logs
- Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP) Collect WIP audit logs by using the Reporting configuration service provider (CSP)
- Элемент «Пользователь» и его атрибуты User element and attributes
- Элемент «Журнал» и его атрибуты Log element and attributes
- Примеры Examples
- Статус владения файлом изменен с рабочего на личный File ownership on a file is changed from work to personal
Управление журналом аудита и безопасности Manage auditing and security log
Область применения Applies to
В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности «Управление аудитом и журналом безопасности». Describes the best practices, location, values, policy management, and security considerations for the Manage auditing and security log security policy setting.
Справочные материалы Reference
Этот параметр политики определяет, какие пользователи могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и ключи реестра. This policy setting determines which users can specify object access audit options for individual resources such as files, Active Directory objects, and registry keys. Эти объекты указывают свои системные списки управления доступом (SACL). These objects specify their system access control lists (SACL). Пользователь, которому назначено это право, также может просмотреть и очистить журнал безопасности в окне просмотра событий. A user who is assigned this user right can also view and clear the Security log in Event Viewer. Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more info about the Object Access audit policy, see Audit object access.
Константа: SeSecurityPrivilege Constant: SeSecurityPrivilege
Возможные значения Possible values
- Определяемый пользователей список учетных записей User-defined list of accounts
- Администраторы Administrators
- Не определено Not Defined
Рекомендации Best practices
- Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.
- Как правило, назначать это право пользователю группам, кроме администраторов, не требуется. Generally, assigning this user right to groups other than Administrators is not necessary.
Location Location
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Значения по умолчанию Default values
По умолчанию этот параметр является администратором на контроллерах домена и на автономных серверах. By default this setting is Administrators on domain controllers and on stand-alone servers.
В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Администраторы Administrators |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Администраторы Administrators |
| Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings | Администраторы Administrators |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Администраторы Administrators |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Администраторы Administrators |
Управление политикой Policy management
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.
Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
Аудит доступа к объектам не выполняется, если их не включить с помощью редактора локальных групповых политик, консоли управления групповыми политиками (GPMC) или средства командной строки Auditpol. Audits for object access are not performed unless you enable them by using the Local Group Policy Editor, the Group Policy Management Console (GPMC), or the Auditpol command-line tool.
Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more information about the Object Access audit policy, see Audit object access.
Групповая политика Group Policy
Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:
- Параметры локальной политики Local policy settings
- Параметры политики сайта Site policy settings
- Параметры политики домена Domain policy settings
- Параметры политики подразделения OU policy settings
Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Любой пользователь с правом на управление аудитом и журналом безопасности может очистить журнал безопасности, чтобы удалить важные признаки несанкционированной деятельности. Anyone with the Manage auditing and security log user right can clear the Security log to erase important evidence of unauthorized activity.
Противодействие Countermeasure
Убедитесь, что только у локальной группы администраторов есть право на управление аудитом и журналом безопасности. Ensure that only the local Administrators group has the Manage auditing and security log user right.
Возможное влияние Potential impact
Настройка по умолчанию ограничивает права пользователя журнала аудита и безопасности только локальной группой администраторов. Restricting the Manage auditing and security log user right to the local Administrators group is the default configuration.
Предупреждение: Если группе, кроме локальной группы администраторов, назначено это право пользователя, удаление этого права пользователя может привести к проблеме производительности в других приложениях. Warning: If groups other than the local Administrators group have been assigned this user right, removing this user right might cause performance issues with other applications. Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.
Сбор журналов событий аудита Windows Information Protection (WIP) How to collect Windows Information Protection (WIP) audit event logs
Область применения: Applies to:
- Windows 10 версии 1607 и выше Windows 10, version 1607 and later
- Windows 10 Mobile (версия 1607 и выше) Windows 10 Mobile, version 1607 and later
Windows Information Protection (WIP) создает события аудита в следующих случаях: Windows Information Protection (WIP) creates audit events in the following situations:
Когда сотрудник изменяет значение параметра «Владение файлом» с Рабочий на Личный. If an employee changes the File ownership for a file from Work to Personal.
Когда данные отмечаются как Рабочие, но передаются в личное приложение или на личную веб-страницу If data is marked as Work, but shared to a personal app or webpage. (например, путем копирования и вставки, перетаскивания, предоставления общего доступа к контакту, размещения на личной веб-странице, или если пользователь предоставляет личному приложению временный доступ к рабочему файлу). For example, through copying and pasting, dragging and dropping, sharing a contact, uploading to a personal webpage, or if the user grants a personal app provides temporary access to a work file.
Когда приложение имеет пользовательские события аудита. If an app has custom audit events.
Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP) Collect WIP audit logs by using the Reporting configuration service provider (CSP)
Вы можете собирать журналы аудита WIP с устройств сотрудников, следуя указаниям, предоставленным в документации к поставщику служб конфигурации отчетов (CSP). Collect the WIP audit logs from your employee’s devices by following the guidance provided by the Reporting configuration service provider (CSP) documentation. Этот раздел содержит сведения о фактических событиях аудита. This topic provides info about the actual audit events.
Элемент Данные в ответе содержит запрошенные журналы аудита в формате XML. The Data element in the response includes the requested audit logs in an XML-encoded format.
Элемент «Пользователь» и его атрибуты User element and attributes
В данной таблице содержатся все доступные атрибуты для элемента Пользователь. This table includes all available attributes for the User element.
| Атрибут Attribute | Тип значения Value type | Описание Description |
|---|---|---|
| UserID UserID | Строка String | Идентификатор безопасности (SID) пользователя, соответствующий данному отчету об аудите. The security identifier (SID) of the user corresponding to this audit report. |
| EnterpriseID EnterpriseID | Строка String | Идентификатор предприятия, соответствующий данному отчету об аудите. The enterprise ID corresponding to this audit report. |
Элемент «Журнал» и его атрибуты Log element and attributes
В данной таблице содержатся все доступные атрибуты/элементы для элемента Журнал. This table includes all available attributes/elements for the Log element. Ответ может содержать ноль (0) или несколько элементов Журнал. The response can contain zero (0) or more Log elements.
| Атрибут/элемент Attribute/Element | Тип значения Value type | Описание Description |
|---|---|---|
| ProviderType ProviderType | Строка String | Всегда EDPAudit. This is always EDPAudit. |
| LogType LogType | Строка String | Включает: Includes:
|
| TimeStamp TimeStamp | Целое число Int | Использует структуру FILETIME для обозначения времени события. Uses the FILETIME structure to represent the time that the event happened. |
| Политика Policy | Строка String | Способ передачи рабочих данных в личное расположение: How the work data was shared to the personal location:
|
| Обоснование Justification | Строка String | Не реализовано. Not implemented. Это значение всегда будет пустым или NULL. This will always be either blank or NULL. Примечание Note |
| Объект Object | Строка String | Описание рабочих данных, к которым был осуществлен личный доступ. A description of the shared work data. Например, если сотрудник открывает рабочий файл с помощью личного приложения, здесь будет указан путь к файлу. For example, if an employee opens a work file by using a personal app, this would be the file path. |
| DataInfo DataInfo | Строка String | Любая дополнительная информация о том, каким образом был изменен рабочий файл: Any additional info about how the work file changed:
|
| Действие Action | Целое число Int | Предоставляет информацию о том, что произошло в тот момент, когда рабочие данные были переданы в личное расположение, включая: Provides info about what happened when the work data was shared to personal, including:
|
| FilePath FilePath | Строка String | Путь к файлу, указанному в событии аудита The file path to the file specified in the audit event. (например, расположение файла, расшифрованного сотрудником или размещенного на личном веб-сайте). For example, the location of a file that’s been decrypted by an employee or uploaded to a personal website. |
| SourceApplicationName SourceApplicationName | Строка String | Исходное приложение или веб-сайт. The source app or website. Для исходного приложения это удостоверение AppLocker. For the source app, this is the AppLocker identity. Для исходного веб-сайта это имя узла. For the source website, this is the hostname. |
| SourceName SourceName | Строка String | Строка, предоставленная приложением, которое зарегистрировало событие. A string provided by the app that’s logging the event. Она предназначена для описания источника рабочих данных. It’s intended to describe the source of the work data. |
| DestinationEnterpriseID DestinationEnterpriseID | Строка String | Значение корпоративного идентификатора приложения или веб-сайта, куда сотрудник передал данные. The enterprise ID value for the app or website where the employee is sharing the data. NULL, Личный или пустое значение означают, что корпоративный идентификатор отсутствует, поспольку данные были переданы в личное расположение. NULL, Personal, or blank means there’s no enterprise ID because the work data was shared to a personal location. Поскольку в настоящее время мы не поддерживаем множественную регистрацию, всегда будет отображаться одно из этих значений. Because we don’t currently support multiple enrollments, you’ll always see one of these values. |
| DestinationApplicationName DestinationApplicationName | Строка String | Целевое приложение или веб-сайт. The destination app or website. Для целевого приложения это удостоверение AppLocker. For the destination app, this is the AppLocker identity. Для целевого веб-сайта это имя узла. For the destination website, this is the hostname. |
| DestinationName DestinationName | Строка String | Строка, предоставленная приложением, которое зарегистрировало событие. A string provided by the app that’s logging the event. Она предназначена для описания назначения передачи рабочих данных. It’s intended to describe the destination of the work data. |
| Приложение Application | Строка String | Удостоверение AppLocker приложения, в котором произошло событие аудита. The AppLocker identity for the app where the audit event happened. |
Примеры Examples
Вот несколько примеров ответов от поставщика службы конфигурации отчетов. Here are a few examples of responses from the Reporting CSP.
Статус владения файлом изменен с рабочего на личный File ownership on a file is changed from work to personal
1 1 0 SyncHdr 200 2 1 2 Replace 200 3 1 4 Get 200 4 1 4 ./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs
