Главная » Linux

Windows advanced security settings

Содержание
  1. Advanced security audit policy settings
  2. Account Logon
  3. Account Management
  4. Detailed Tracking
  5. DS Access
  6. Logon/Logoff
  7. Object Access
  8. Policy Change
  9. Privilege Use
  10. System
  11. Global Object Access Auditing
  12. Параметры расширенной политики аудита безопасности Advanced security audit policy settings
  13. Логон учетной записи Account Logon
  14. Управление учетными записями Account Management
  15. Подробный отслеживание Detailed Tracking
  16. Доступ к DS DS Access
  17. Logon/Logoff Logon/Logoff
  18. Доступ к объекту Object Access
  19. Изменение политики Policy Change
  20. Использование привилегий Privilege Use
  21. System System
  22. Аудит глобального доступа к объектам Global Object Access Auditing

Advanced security audit policy settings

Applies to

This reference for IT professionals provides information about the advanced audit policy settings that are available in Windows and the audit events that they generate.

The security audit policy settings under Security Settings\Advanced Audit Policy Configuration can help your organization audit compliance with important business-related and security-related rules by tracking precisely defined activities, such as:

  • A group administrator has modified settings or data on servers that contain finance information.
  • An employee within a defined group has accessed an important file.
  • The correct system access control list (SACL) is applied to every file and folder or registry key on a computer or file share as a verifiable safeguard against undetected access.

You can access these audit policy settings through the Local Security Policy snap-in (secpol.msc) on the local computer or by using Group Policy.

These advanced audit policy settings allow you to select only the behaviors that you want to monitor. You can exclude audit results for behaviors that are of little or no concern to you, or behaviors that create an excessive number of log entries. In addition, because security audit policies can be applied by using domain Group Policy Objects, audit policy settings can be modified, tested, and deployed to selected users and groups with relative simplicity. Audit policy settings under Security Settings\Advanced Audit Policy Configuration are available in the following categories:

Account Logon

Configuring policy settings in this category can help you document attempts to authenticate account data on a domain controller or on a local Security Accounts Manager (SAM). Unlike Logon and Logoff policy settings and events, which track attempts to access a particular computer, settings and events in this category focus on the account database that is used. This category includes the following subcategories:

Account Management

The security audit policy settings in this category can be used to monitor changes to user and computer accounts and groups. This category includes the following subcategories:

Detailed Tracking

Detailed Tracking security policy settings and audit events can be used to monitor the activities of individual applications and users on that computer, and to understand how a computer is being used. This category includes the following subcategories:

DS Access

DS Access security audit policy settings provide a detailed audit trail of attempts to access and modify objects in Active Directory Domain Services (ADВ DS). These audit events are logged only on domain controllers. This category includes the following subcategories:

Logon/Logoff

Logon/Logoff security policy settings and audit events allow you to track attempts to log on to a computer interactively or over a network. These events are particularly useful for tracking user activity and identifying potential attacks on network resources. This category includes the following subcategories:

Object Access

Object Access policy settings and audit events allow you to track attempts to access specific objects or types of objects on a network or computer. To audit attempts to access a file, directory, registry key, or any other object, you must enable the appropriate Object Access auditing subcategory for success and/or failure events. For example, the file system subcategory needs to be enabled to audit file operations, and the Registry subcategory needs to be enabled to audit registry accesses.

Proving that these audit policies are in effect to an external auditor is more difficult. There is no easy way to verify that the proper SACLs are set on all inherited objects. To address this issue, see Global Object Access Auditing.

This category includes the following subcategories:

Policy Change

Policy Change audit events allow you to track changes to important security policies on a local system or network. Because policies are typically established by administrators to help secure network resources, monitoring changes or attempts to change these policies can be an important aspect of security management for a network. This category includes the following subcategories:

Читайте также:  Windows 10 значок сети глобус

Privilege Use

Permissions on a network are granted for users or computers to complete defined tasks. Privilege Use security policy settings and audit events allow you to track the use of certain permissions on one or more systems. This category includes the following subcategories:

System

System security policy settings and audit events allow you to track system-level changes to a computer that are not included in other categories and that have potential security implications. This category includes the following subcategories:

Global Object Access Auditing

Global Object Access Auditing policy settings allow administrators to define computer system access control lists (SACLs) per object type for the file system or for the registry. The specified SACL is then automatically applied to every object of that type. Auditors will be able to prove that every resource in the system is protected by an audit policy by viewing the contents of the Global Object Access Auditing policy settings. For example, if auditors see a policy setting called «Track all changes made by group administrators,» they know that this policy is in effect.

Resource SACLs are also useful for diagnostic scenarios. For example, setting the Global Object Access Auditing policy to log all the activity for a specific user and enabling the policy to track «Access denied» events for the file system or registry can help administrators quickly identify which object in a system is denying a user access.

If a file or folder SACL and a Global Object Access Auditing policy setting (or a single registry setting SACL and a Global Object Access Auditing policy setting) are configured on a computer, the effective SACL is derived from combining the file or folder SACL and the Global Object Access Auditing policy. This means that an audit event is generated if an activity matches the file or folder SACL or the Global Object Access Auditing policy.

This category includes the following subcategories:

Параметры расширенной политики аудита безопасности Advanced security audit policy settings

Относится к: Applies to

Эта ссылка для ИТ-специалистов содержит сведения о параметрах политики аудита, доступных в Windows, и событиях аудита, которые они создают. This reference for IT professionals provides information about the advanced audit policy settings that are available in Windows and the audit events that they generate.

Параметры политики аудита безопасности в параметрах безопасности\Advanced Audit Policy Configuration могут помочь организации в аудите соблюдения важных правил, связанных с бизнесом и безопасностью, отслеживая точно определенные действия, такие как: The security audit policy settings under Security Settings\Advanced Audit Policy Configuration can help your organization audit compliance with important business-related and security-related rules by tracking precisely defined activities, such as:

  • Администратор группы изменил параметры или данные на серверах, содержащих финансовую информацию. A group administrator has modified settings or data on servers that contain finance information.
  • Сотрудник определенной группы получил доступ к важному файлу. An employee within a defined group has accessed an important file.
  • Правильный список управления доступом к системе (SACL) применяется ко всем файлам и папкам или ключу реестра на компьютере или файле в качестве проверяемой защиты от незащищенного доступа. The correct system access control list (SACL) is applied to every file and folder or registry key on a computer or file share as a verifiable safeguard against undetected access.

Доступ к этим настройкам политики аудита можно получить с помощью привязки к локальной политике безопасности (secpol.msc) на локальном компьютере или с помощью групповой политики. You can access these audit policy settings through the Local Security Policy snap-in (secpol.msc) on the local computer or by using Group Policy.

Эти расширенные параметры политики аудита позволяют выбирать только те действия, которые необходимо отслеживать. These advanced audit policy settings allow you to select only the behaviors that you want to monitor. Вы можете исключить результаты аудита для поведения, которое мало для вас или не вызывает у вас никакого беспокойства, или поведения, создающее чрезмерное количество записей журнала. You can exclude audit results for behaviors that are of little or no concern to you, or behaviors that create an excessive number of log entries. Кроме того, поскольку политики аудита безопасности можно применять с помощью объектов групповой политики домена, параметры политики аудита можно изменять, тестировать и развертывать для отдельных пользователей и групп с относительной простотой. In addition, because security audit policies can be applied by using domain Group Policy Objects, audit policy settings can be modified, tested, and deployed to selected users and groups with relative simplicity. Параметры политики аудита в параметрах безопасности\Advanced Audit Policy Configuration доступны в следующих категориях: Audit policy settings under Security Settings\Advanced Audit Policy Configuration are available in the following categories:

Читайте также:  Linux sources как добавить

Логон учетной записи Account Logon

Настройка параметров политики в этой категории поможет документировать попытки проверки подлинности данных учетных записей на контроллере домена или в локальном диспетчере учетных записей безопасности (SAM). Configuring policy settings in this category can help you document attempts to authenticate account data on a domain controller or on a local Security Accounts Manager (SAM). В отличие от параметров и событий политики Logon и Logoff, отслеживая попытки доступа к определенному компьютеру, параметры и события этой категории фокусируется на используемой базе данных учетных записей. Unlike Logon and Logoff policy settings and events, which track attempts to access a particular computer, settings and events in this category focus on the account database that is used. В эту категорию входят следующие подкатегории: This category includes the following subcategories:

Управление учетными записями Account Management

Параметры политики аудита безопасности в этой категории можно использовать для мониторинга изменений учетных записей и групп пользователей и компьютеров. The security audit policy settings in this category can be used to monitor changes to user and computer accounts and groups. В эту категорию входят следующие подкатегории: This category includes the following subcategories:

Подробный отслеживание Detailed Tracking

Подробные параметры политики отслеживания безопасности и события аудита можно использовать для мониторинга действий отдельных приложений и пользователей на этом компьютере, а также для понимания того, как используется компьютер. Detailed Tracking security policy settings and audit events can be used to monitor the activities of individual applications and users on that computer, and to understand how a computer is being used. В эту категорию входят следующие подкатегории: This category includes the following subcategories:

Доступ к DS DS Access

Параметры политики аудита безопасности DS Access предоставляют подробный след аудита попыток доступа к объектам в службе доменных служб Active Directory (AD DS) и их изменения. DS Access security audit policy settings provide a detailed audit trail of attempts to access and modify objects in Active Directory Domain Services (AD DS). Эти события аудита регистрируются только на контроллерах домена. These audit events are logged only on domain controllers. В эту категорию входят следующие подкатегории: This category includes the following subcategories:

Logon/Logoff Logon/Logoff

Параметры политики безопасности Logon/Logoff и события аудита позволяют отслеживать попытки входа на компьютер в интерактивном режиме или через сеть. Logon/Logoff security policy settings and audit events allow you to track attempts to log on to a computer interactively or over a network. Эти события особенно полезны для отслеживания активности пользователей и выявления потенциальных атак на сетевые ресурсы. These events are particularly useful for tracking user activity and identifying potential attacks on network resources. В эту категорию входят следующие подкатегории: This category includes the following subcategories:

Доступ к объекту Object Access

Параметры политики доступа к объектам и события аудита позволяют отслеживать попытки доступа к определенным объектам или типам объектов на сети или компьютере. Object Access policy settings and audit events allow you to track attempts to access specific objects or types of objects on a network or computer. Чтобы аудит пытался получить доступ к файлу, каталогу, ключу реестра или любому другому объекту, необходимо включить соответствующую подкатегорию аудита объектов для успешного и/или неудачного события. To audit attempts to access a file, directory, registry key, or any other object, you must enable the appropriate Object Access auditing subcategory for success and/or failure events. Например, необходимо включить подкатегорию файловой системы для аудита файлов, а подкатегорию Реестра — доступ к реестру аудита. For example, the file system subcategory needs to be enabled to audit file operations, and the Registry subcategory needs to be enabled to audit registry accesses.

Доказать, что эти политики аудита являются фактическими для внешнего аудитора, сложнее. Proving that these audit policies are in effect to an external auditor is more difficult. Нет простого способа убедиться, что соответствующие SACLs установлены на всех унаследованных объектах. There is no easy way to verify that the proper SACLs are set on all inherited objects. Чтобы решить эту проблему, см. в глобальной проверке доступа к объектам. To address this issue, see Global Object Access Auditing.

Читайте также:  Via hd audio drivers для windows 10 64 bit

В эту категорию входят следующие подкатегории: This category includes the following subcategories:

Изменение политики Policy Change

События аудита изменения политики позволяют отслеживать изменения важных политик безопасности в локальной системе или сети. Policy Change audit events allow you to track changes to important security policies on a local system or network. Так как политики обычно устанавливаются администраторами для защиты сетевых ресурсов, мониторинг изменений или попыток изменить эти политики может быть важным аспектом управления безопасностью для сети. Because policies are typically established by administrators to help secure network resources, monitoring changes or attempts to change these policies can be an important aspect of security management for a network. В эту категорию входят следующие подкатегории: This category includes the following subcategories:

Использование привилегий Privilege Use

Пользователям или компьютерам предоставляется разрешение на выполнение определенных задач в сети. Permissions on a network are granted for users or computers to complete defined tasks. Параметры политики безопасности privilege Use и события аудита позволяют отслеживать использование определенных разрешений в одной или более системах. Privilege Use security policy settings and audit events allow you to track the use of certain permissions on one or more systems. В эту категорию входят следующие подкатегории: This category includes the following subcategories:

System System

Параметры политики безопасности системы и события аудита позволяют отслеживать изменения на уровне системы на компьютере, которые не включены в другие категории и которые могут иметь последствия для безопасности. System security policy settings and audit events allow you to track system-level changes to a computer that are not included in other categories and that have potential security implications. В эту категорию входят следующие подкатегории: This category includes the following subcategories:

Аудит глобального доступа к объектам Global Object Access Auditing

Параметры политики аудита глобального доступа к объектам позволяют администраторам определять списки управления доступом к компьютерной системе (SACLs) для типа объекта для файловой системы или реестра. Global Object Access Auditing policy settings allow administrators to define computer system access control lists (SACLs) per object type for the file system or for the registry. Указанный SACL автоматически применяется к каждому объекту этого типа. The specified SACL is then automatically applied to every object of that type. Аудиторы смогут доказать, что каждый ресурс системы защищен политикой аудита, просмотрев содержимое параметров политики аудита глобального доступа к объектам. Auditors will be able to prove that every resource in the system is protected by an audit policy by viewing the contents of the Global Object Access Auditing policy settings. Например, если аудиторы видят параметр политики под названием «Отслеживайте все изменения, внесенные администраторами групп», они знают, что эта политика действует. For example, if auditors see a policy setting called «Track all changes made by group administrators,» they know that this policy is in effect.

SACLs ресурсов также полезны для диагностических сценариев. Resource SACLs are also useful for diagnostic scenarios. Например, установка политики аудита глобального доступа к объекту для журнала всех действий для конкретного пользователя и включение политики для отслеживания событий «Отказано в доступе» для файловой системы или реестра может помочь администраторам быстро определить, какой объект в системе отказывает пользователю в доступе. For example, setting the Global Object Access Auditing policy to log all the activity for a specific user and enabling the policy to track «Access denied» events for the file system or registry can help administrators quickly identify which object in a system is denying a user access.

Если файл или папка SACL и параметр политики аудита глобального доступа к объекту (или один параметр реестра SACL и параметр глобального аудита доступа к объектам) настроены на компьютере, эффективная SACL будет получена из объединения SACL файла или папки и политики аудита глобального доступа к объектам. If a file or folder SACL and a Global Object Access Auditing policy setting (or a single registry setting SACL and a Global Object Access Auditing policy setting) are configured on a computer, the effective SACL is derived from combining the file or folder SACL and the Global Object Access Auditing policy. Это означает, что событие аудита создается, если действие совпадает с SACL-файлом или папкой или политикой аудита глобального доступа к объектам. This means that an audit event is generated if an activity matches the file or folder SACL or the Global Object Access Auditing policy.

В эту категорию входят следующие подкатегории: This category includes the following subcategories:

Оцените статью
© 2024 Советы по настройке компьютера