Базовые политики аудита безопасности Basic security audit policies

Область применения Applies to

Перед внедрением аудита необходимо выбрать политику аудита. Before you implement auditing, you must decide on an auditing policy. Базовая политика аудита определяет категории событий, связанных с безопасностью, которые необходимо проверять. A basic audit policy specifies categories of security-related events that you want to audit. При первой установке этой версии Windows все категории аудита отключаются. When this version of Windows is first installed, all auditing categories are disabled. Включив различные категории событий аудита, вы можете реализовать политику аудита, которая отвечает требованиям безопасности вашей организации. By enabling various auditing event categories, you can implement an auditing policy that suits the security needs of your organization.

Категории событий, которые можно выбрать для аудита: The event categories that you can choose to audit are:

• Аудит событий входа в систему Audit account logon events
• Аудит управления учетными записями Audit account management
• Аудит доступа к службе каталогов Audit directory service access
• Аудит события входа Audit logon events
• Аудит доступа к объектам Audit object access
• Аудит изменения политики Audit policy change
• Аудит использования привилегий Audit privilege use
• Аудит отслеживания процессов Audit process tracking
• Аудит системных событий Audit system events

При выборе аудита доступа к объектам в рамках политики аудита необходимо включить категорию доступа службы каталогов аудита (для объектов аудита на контроллере домена) или категорию доступа к объектам аудита (для объектов аудита на рядовом сервере или рабочей станции). If you choose to audit access to objects as part of your audit policy, you must enable either the audit directory service access category (for auditing objects on a domain controller), or the audit object access category (for auditing objects on a member server or workstation). После включения категории доступа к объекту можно указать типы доступа, которые необходимо проверять для каждой группы или пользователя. Once you have enabled the object access category, you can specify the types of access you want to audit for each group or user.

Аудит отслеживания процессов Audit process tracking

Область применения Applies to

Определяет, следует ли проверять подробные сведения об отслеживании таких событий, как активация программы, выход из процесса, обработка дублирования и косвенный доступ к объектам. Determines whether to audit detailed tracking information for events such as program activation, process exit, handle duplication, and indirect object access.

Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешном отслеживании процесса. Success audits generate an audit entry when the process being tracked succeeds. Аудиты сбоев создают запись аудита при сбое отслеживаемой процедуры. Failure audits generate an audit entry when the process being tracked fails.

Чтобы установить для этого параметра значение «Нетаудита», в диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.

По умолчанию: Аудит не проводится. Default: No auditing.

Настройка этого параметра безопасности Configure this security setting

Этот параметр безопасности можно настроить в области Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита. You can configure this security setting under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.

Аудит процесса командной строки Command line process auditing

Область применения: Windows Server 2016, Windows Server 2012 R2 Applies To: Windows Server 2016, Windows Server 2012 R2

Автор: Джастин Тернер, старший инженер по расширению поддержки с группой Windows Author: Justin Turner, Senior Support Escalation Engineer with the Windows group

Этот материал создан инженером службы поддержки клиентов Майкрософт и предназначен для опытных администраторов и архитекторов систем, которым нужны более глубокие технические сведения о функциях и решениях в Windows Server 2012 R2, а не обычная информация, доступная в статьях на сайте TechNet. This content is written by a Microsoft customer support engineer, and is intended for experienced administrators and systems architects who are looking for deeper technical explanations of features and solutions in Windows Server 2012 R2 than topics on TechNet usually provide. Однако он не был отредактирован согласно требованиям сайта, поэтому некоторые формулировки могут быть не такими выверенными, как на станицах TechNet. However, it has not undergone the same editing passes, so some of the language may seem less polished than what is typically found on TechNet.

Обзор Overview

Предварительно существующий событие аудита создания процесса с ИДЕНТИФИКАТОРом 4688 теперь включает сведения об аудите для процессов командной строки. The pre-existing process creation audit event ID 4688 will now include audit information for command line processes.

Он также регистрирует хэш SHA1/2 исполняемого файла в журнале событий AppLocker. It will also log SHA1/2 hash of the executable in the Applocker event log

• Логс\микрософт\виндовс\апплоккер приложений и служб Application and Services Logs\Microsoft\Windows\AppLocker

Вы включаете через GPO, но по умолчанию отключено. You enable via GPO, but it is disabled by default

• «Включить командную строку в события создания процесса» «Include command line in process creation events»

Рисунок SEQ рис. \ * 16. событие 4688 Figure SEQ Figure \* ARABIC 16 Event 4688

Ознакомьтесь с обновленным событием с ИДЕНТИФИКАТОРом 4688 в REF _Ref366427278 \h рис. 16. Review the updated event ID 4688 in REF _Ref366427278 \h Figure 16. До этого обновления ни одна из сведений о командной строке процесса не заносится в журнал. Prior to this update none of the information for Process Command Line gets logged. В связи с этим дополнительным протоколированием теперь можно увидеть, что не только был запущен процесс wscript.exe, но также он использовался для выполнения сценария VB. Because of this additional logging we can now see that not only was the wscript.exe process started, but that it was also used to execute a VB script.

Конфигурация Configuration

Чтобы увидеть последствия этого обновления, необходимо включить два параметра политики. To see the effects of this update, you will need to enable two policy settings.

Для просмотра события с ИДЕНТИФИКАТОРом 4688 необходимо включить аудит создания процессов аудита. You must have Audit Process Creation auditing enabled to see event ID 4688.

Чтобы включить политику создания процесса аудита, измените следующую групповую политику: To enable the Audit Process Creation policy, edit the following group policy:

Расположение политики: Конфигурация компьютера политики > > параметры Windows > параметры безопасности > Расширенная настройка аудита > подробное отслеживание Policy location: Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Configuration > Detailed Tracking

Имя политики: Аудит создания процесса Policy Name: Audit Process Creation

Поддерживается в: Windows 7 и более поздние версии Supported on: Windows 7 and above

Описание/Справка: Description/Help:

Этот параметр политики безопасности определяет, создает ли операционная система события аудита при создании процесса (запускается) и имя программы или пользователя, создавшего его. This security policy setting determines whether the operating system generates audit events when a process is created (starts) and the name of the program or user that created it.

Эти события аудита могут помочь понять, как используется компьютер и как отслеживать действия пользователей. These audit events can help you understand how a computer is being used and to track user activity.

Том событий: от низкого до среднего в зависимости от использования системы Event volume: Low to medium, depending on system usage

По умолчанию: Не настроено Default: Not configured

Чтобы увидеть дополнения к событию с ИДЕНТИФИКАТОРом 4688, необходимо включить новый параметр политики: включить командную строку в события создания процесса In order to see the additions to event ID 4688, you must enable the new policy setting: Include command line in process creation events

Таблица SEQ таблица номер \ * Арабский 19 параметр политики процесса командной строки Table SEQ Table \* ARABIC 19 Command line process policy setting

Настройка политики Policy Configuration	Сведения Details
Путь Path	Создание административного Темплатес\систем\аудит процесса Administrative Templates\System\Audit Process Creation
Параметр Setting	Включить командную строку в события создания процесса Include command line in process creation events
Параметр по умолчанию Default setting	Не настроено (не включено) Not Configured (not enabled)
Поддерживается в: Supported on:	? ?
Описание Description	Этот параметр политики определяет, какие сведения регистрируются в событиях аудита безопасности при создании нового процесса. This policy setting determines what information is logged in security audit events when a new process has been created. Этот параметр применяется только при включенной политике создания процессов аудита. This setting only applies when the Audit Process Creation policy is enabled. Если включить этот параметр политики, сведения о командной строке для каждого процесса будут регистрироваться в виде обычного текста в журнале событий безопасности в рамках события создания процесса аудита 4688, «новый процесс создан» на рабочих станциях и серверах, на которых применяется этот параметр политики. If you enable this policy setting the command line information for every process will be logged in plain text in the security event log as part of the Audit Process Creation event 4688, «a new process has been created,» on the workstations and servers on which this policy setting is applied. Если вы отключаете или не настраиваете этот параметр политики, сведения о командной строке процесса не будут включаться в события создания процесса аудита. If you disable or do not configure this policy setting, the process’s command line information will not be included in Audit Process Creation events. По умолчанию: не настроено Default: Not configured Примечание. Если этот параметр политики включен, любой пользователь, имеющий доступ для чтения событий безопасности, сможет считывать аргументы командной строки для всех успешно созданных процессов. Note: When this policy setting is enabled, any user with access to read the security events will be able to read the command line arguments for any successfully created process. Аргументы командной строки могут содержать конфиденциальную или закрытую информацию, например пароли или данные пользователя. Command line arguments can contain sensitive or private information such as passwords or user data.

При использовании параметров конфигурации расширенной политики аудита необходимо убедиться, что эти параметры не заменены на параметры базовой политики. When you use Advanced Audit Policy Configuration settings, you need to confirm that these settings are not overwritten by basic audit policy settings. Событие 4719 регистрируется при перезаписи параметров. Event 4719 is logged when the settings are overwritten.

В описанной ниже процедуре показано, как можно предотвратить конфликты путем блокирования применения любых параметров базовой политики аудита. The following procedure shows how to prevent conflicts by blocking the application of any basic audit policy settings.

Проверка того, что параметры конфигурации расширенной политики аудита не перезаписаны To ensure that Advanced Audit Policy Configuration settings are not overwritten

Открытие консоли управления групповая политика Open the Group Policy Management console

Щелкните правой кнопкой мыши пункт Политика домена по умолчанию и выберите команду Изменить. Right-click Default Domain Policy, and then click Edit.

Дважды щелкните пункт Конфигурация компьютера, дважды щелкните пункт Политики, а затем дважды щелкните Параметры Windows. Double-click Computer Configuration, double-click Policies, and then double-click Windows Settings.

Дважды щелкните Параметры безопасности, дважды щелкните Локальные политики, а затем выберите параметры безопасности. Double-click Security Settings, double-click Local Policies, and then click Security Options.

Дважды щелкните пункт Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии), а затем щелкните Определить этот параметр политики. Double-click Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings, and then click Define this policy setting.

Выберите вариант Включен, а затем нажмите кнопку ОК. Click Enabled, and then click OK.

Дополнительные ресурсы Additional Resources

Попробуйте сделать это: обзор процесса командной строки аудит Try This: Explore command line process auditing

Включите Аудит событий создания процесса аудита и убедитесь, что конфигурация политики расширенного аудита не перезаписана. Enable Audit Process Creation events and ensure the Advance Audit Policy configuration is not overwritten

Создайте скрипт, который будет создавать некоторые интересующие события и выполнять скрипт. Create a script that will generate some events of interest and execute the script. Обратите внимание на события. Observe the events. Скрипт, используемый для создания события в занятии, выглядит следующим образом: The script used to generate the event in the lesson looked like this:

Включение аудита обработки командной строки Enable the command line process auditing

Выполните тот же сценарий, что и раньше, и просмотрите события. Execute the same script as before and observe the events