- Аудит: аудит использования привилегии на архивацию и восстановление Audit: Audit the use of Backup and Restore privilege
- Справочные материалы Reference
- Возможные значения Possible values
- Рекомендации Best practices
- Местонахождение Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Необходимость перезапуска Restart requirement
- Аудит Auditing
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Возможное влияние Potential impact
- Применение базовой политики аудита к файлу или папке Apply a basic audit policy on a file or folder
Аудит: аудит использования привилегии на архивацию и восстановление Audit: Audit the use of Backup and Restore privilege
Относится к: Applies to
Описывает лучшие практики, расположение, значения и соображения безопасности для аудита: аудит использования параметра политики безопасности конфиденциальности резервного копирования и восстановления. Describes the best practices, location, values, and security considerations for the Audit: Audit the use of Backup and Restore privilege security policy setting.
Справочные материалы Reference
Аудит. Проверка использования параметра политики привилегий резервного копирования и восстановления определяет, следует ли проверять **** использование всех прав пользователей, включая резервное копирование и восстановление, при настройке параметра политики использования привилегий аудита. The Audit: Audit the use of Backup and Restore privilege policy setting determines whether to audit the use of all user rights, including Backup and Restore, when the Audit privilege use policy setting is configured. Включение обоих параметров политики создает событие аудита для каждого файла, который будет восстановлен или восстановлен. Enabling both policy settings generates an audit event for every file that is backed up or restored.
Возможные значения Possible values
- Enabled Enabled
- Отключено Disabled
- Не определено Not defined
Рекомендации Best practices
- Настройка аудита. Аудит использования привилегий резервного копирования и восстановления для отключенных. Set Audit: Audit the use of Backup and Restore privilege to Disabled. Включение этого параметра политики может создавать большое количество событий безопасности, что может привести к медленному реагированию серверов и заставить журнал событий безопасности записывать многочисленные события, которые мало значат. Enabling this policy setting can generate a large number of security events, which might cause servers to respond slowly and force the security event log to record numerous events of little significance.
Местонахождение Location
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Значения по умолчанию Default values
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Не определено Not defined |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Отключено Disabled |
| Эффективные параметры по умолчанию DC DC Effective Default Settings | Отключено Disabled |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Отключено Disabled |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Отключено Disabled |
Управление политикой Policy management
В этом разделе описываются функции и средства, доступные для управления этой политикой. This section describes features and tools that are available to help you manage this policy.
Необходимость перезапуска Restart requirement
Нет. None. Изменения в этой политике становятся эффективными без перезапуска компьютера при локальном сбережении или распространении через групповую политику. Changes to this policy become effective without a computer restart when they are saved locally or distributed through Group Policy.
Аудит Auditing
Включение этого параметра политики в сочетании с привилегией аудита использовать политику, устанавливая записи любых случаев прав пользователей, которые используются в журнале безопасности. Enabling this policy setting in conjunction with the Audit privilege use policy setting records any instance of user rights that are being exercised in the security log. Если использование привилегий аудита включено, но аудит: аудит использования привилегии резервного копирования и восстановления отключен, при резервном копировании или восстановлении прав пользователей эти события не будут проверяться. If Audit privilege use is enabled but Audit: Audit the use of Backup and Restore privilege is disabled, when users back up or restore user rights, those events will not be audited.
Включение этого параметра **** политики при включении параметра политики использования привилегий аудита создает событие аудита для каждого файла, который будет восстановлен или восстановлен. Enabling this policy setting when the Audit privilege use policy setting is also enabled generates an audit event for every file that is backed up or restored. Эта настройка поможет вам отследить администратора, который случайно или злонамеренно восстанавливает данные несанкционированно. This setup can help you to track down an administrator who is accidentally or maliciously restoring data in an unauthorized manner.
Поочередно можно использовать расширенные политики аудита , Аудитконфиденциальное использование привилегий , которые могут помочь вам управлять количеством событий, созданных. Alternately, you can use the advanced audit policy, Audit Sensitive Privilege Use, which can help you manage the number of events generated.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
При работе с функцией резервного копирования и восстановления создается копия файловой системы, идентичная целевому объекту резервного копирования. When the backup and restore function is used, it creates a copy of the file system that is identical to the target of the backup. Регулярное резервное копирование и восстановление томов является важной частью плана реагирования на инциденты. Making regular backup and restore volumes is an important part of your incident response plan. Однако злоумышленник может использовать легитимную копию резервного копирования, чтобы получить доступ к информации или выдать себя за законный сетевой ресурс для компрометации предприятия. However, a malicious user could use a legitimate backup copy to gain access to information or to impersonate a legitimate network resource to compromise your enterprise.
Противодействие Countermeasure
Включить аудит: аудит использования параметра «Резервное копирование» и «Восстановление». Enable the Audit: Audit the use of Backup and Restore privilege setting. Кроме того, реализовать автоматическое резервное копирование журнала, настроив ключ реестра AutoBackupLogFiles. Alternatively, implement automatic log backup by configuring the AutoBackupLogFiles registry key. Если включить этот параметр при включенном параметре использования привилегий аудита, для каждого файла, который будет создан или восстановлен, создается событие аудита. If you enable this option when the Audit privilege use setting is also enabled, an audit event is generated for every file that is backed up or restored. Эти сведения могут помочь вам определить учетную запись, которая была использована для случайного или злонамеренного восстановления данных несанкционированным способом. This information could help you to identify an account that was used to accidentally or maliciously restore data in an unauthorized manner. Дополнительные сведения о настройке этого ключа см. в дополнительных сведениях о ключе eventlog. For more information about configuring this key, see Eventlog Key.
Возможное влияние Potential impact
Если включить этот параметр политики, может быть сгенерировано большое количество событий безопасности, что может привести к медленному реагированию серверов и заставить журнал событий безопасности записывать многочисленные события, которые мало значат. If you enable this policy setting, a large number of security events could be generated, which could cause servers to respond slowly and force the security event log to record numerous events of little significance. Если увеличить размер журнала событий безопасности, чтобы снизить вероятность отключения системы, чрезмерно большой файл журнала может повлиять на производительность системы. If you increase the security event log size to reduce the chances of a system shutdown, an excessively large log file may affect system performance.
Применение базовой политики аудита к файлу или папке Apply a basic audit policy on a file or folder
Область применения Applies to
Политики аудита можно применять к отдельным файлам и папок на компьютере, задав тип разрешения для записи успешных попыток доступа или неудачных попыток доступа в журнале безопасности. You can apply audit policies to individual files and folders on your computer by setting the permission type to record successful access attempts or failed access attempts in the security log.
Для выполнения этой процедуры необходимо войти в систему в качестве члена встроенной группы администраторов или иметь права на управление аудитом и журналом безопасности. To complete this procedure, you must be signed in as a member of the built-in Administrators group or have Manage auditing and security log rights.
Применение или изменение параметров политики аудита для локального файла или папки To apply or modify auditing policy settings for a local file or folder
Выберите и удерживайте (или щелкните правой кнопкой мыши) **** файл или папку, для аудита, выберите «Свойства», а затем выберите вкладку «Безопасность». Select and hold (or right-click) the file or folder that you want to audit, select Properties, and then select the Security tab.
Выберите «Дополнительные». Select Advanced.
В диалоговом окне «Дополнительные **** параметры безопасности» выберите вкладку «Аудит» и выберите «Продолжить». In the Advanced Security Settings dialog box, select the Auditing tab, and then select Continue.
Выполните одно из следующих действий. Do one of the following:
- Чтобы настроить аудит для нового пользователя или группы, выберите «Добавить». To set up auditing for a new user or group, select Add. Select Select a principal, type the name of the user or group that you want, and then select OK. Select Select a principal, type the name of the user or group that you want, and then select OK.
- Чтобы удалить аудит для существующей группы или пользователя, выберите группу или имя пользователя, выберите «Удалить», ****»ОК» и пропустите остальную часть этой процедуры. To remove auditing for an existing group or user, select the group or user name, select Remove, select OK, and then skip the rest of this procedure.
- Чтобы просмотреть или изменить аудит для существующей группы или пользователя, выберите ее имя и выберите «Изменить». To view or change auditing for an existing group or user, select its name, and then select Edit.
В поле «Тип» указать действия, которые необходимо проверить, выбрав соответствующие флажки: In the Type box, indicate what actions you want to audit by selecting the appropriate check boxes:
- Для аудита успешных событий выберите «Успешно». To audit successful events, select Success.
- Для аудита событий сбоя выберите «Сбой». To audit failure events, select Fail.
- Для аудита всех событий выберите «Все». To audit all events, select All.
В поле «Применяется к» выберите объекты, к которым будет применяться аудит событий. In the Applies to box, select the object(s) to which the audit of events will apply. К ним можно отнести следующие. These include:
- Только эта папка This folder only
- Эта папка, вложенные папки и файлы This folder, subfolders and files
- Эта папка и вложенные папки This folder and subfolders
- Эта папка и файлы This folder and files
- Только в папки и файлы Subfolders and files only
- Только в подкаченики Subfolders only
- Только файлы Files only
По умолчанию для аудита выбраны следующие базовые разрешения: By default, the selected Basic Permissions to audit are the following:
- Чтение и выполнение Read and execute
- Список содержимого папки List folder contents
- Read Read
- Кроме того, с помощью выбранного сочетания аудита можно выбрать любое сочетание следующих разрешений: Additionally, with your selected audit combination, you can select any combination of the following permissions:
- Полный контроль Full control
- Изменение Modify
- Write Write
Перед тем как настроить аудит файлов и папок, необходимо включить аудит доступа к объектам. Before you set up auditing for files and folders, you must enable object access auditing. Для этого определите параметры политики аудита для категории событий доступа к объектам. To do this, define auditing policy settings for the object access event category. Если не включить аудит доступа к объекту, при настройках аудита файлов и папок вы получите сообщение об ошибке, и никакие файлы и папки не будут проверяться. If you don’t enable object access auditing, you’ll receive an error message when you set up auditing for files and folders, and no files or folders will be audited.
