Аудит управления группами приложений Audit Application Group Management

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Управление группами приложений аудита создает события для действий, связанных с группами приложений,таких как создание группы, изменение, добавление или удаление участника группы и некоторые другие действия. Audit Application Group Management generates events for actions related to application groups, such as group creation, modification, addition or removal of group member and some other actions.

Подкатегория управления группой приложений аудита выходит за рамки этого документа, так как диспетчер авторизации используется очень редко и не используется начиная с Windows Server 2012. Audit Application Group Management subcategory is out of scope of this document, because Authorization Manager is very rarely in use and it is deprecated starting from Windows Server 2012.

Тип компьютера Computer Type	Общий успех General Success	Общий сбой General Failure	Более сильный успех Stronger Success	Более сильный сбой Stronger Failure	Комментарии Comments
Контроллер домена Domain Controller	—	—	—	—	Эта подкатегория не является областью действия этого документа. This subcategory is outside the scope of this document.
Сервер участника Member Server	—	—	—	—	Эта подкатегория не является областью действия этого документа. This subcategory is outside the scope of this document.
Workstation Workstation	—	—	—	—	Эта подкатегория не является областью действия этого документа. This subcategory is outside the scope of this document.

4783(S): создана базовая группа приложений. 4783(S): A basic application group was created.

4784(S). Была изменена базовая группа приложений. 4784(S): A basic application group was changed.

4785(S). В базовую группу приложений был добавлен член. 4785(S): A member was added to a basic application group.

4786(S). Элемент был удален из основной группы приложений. 4786(S): A member was removed from a basic application group.

4787(S): в базовую группу приложений был добавлен неавтет. 4787(S): A non-member was added to a basic application group.

4788(S). Из основной группы приложений был удален неавтет. 4788(S): A non-member was removed from a basic application group.

4789(S): была удалена базовая группа приложений. 4789(S): A basic application group was deleted.

4790(S). Была создана группа запросов LDAP. 4790(S): An LDAP query group was created.

4791(S). Группа запросов LDAP была изменена. 4791(S): An LDAP query group was changed.

4792(S). Группа запросов LDAP была удалена. 4792(S): An LDAP query group was deleted.

Аудит создания процессов Audit Process Creation

Область применения Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Процесс аудита определяет, генерирует ли операционная система события аудита при создании (запускается). Audit Process Creation determines whether the operating system generates audit events when a process is created (starts).

Эти события аудита помогают отслеживать активность пользователей и понимать, как используется компьютер. These audit events can help you track user activity and understand how a computer is being used. Сведения включают имя программы или пользователя, создав процесс. Information includes the name of the program or the user that created the process.

Объем события: от низкого до среднего в зависимости от использования системы. Event volume: Low to Medium, depending on system usage.

Эта подкатегория позволяет проводить аудит событий, созданных при его создания или запускается. This subcategory allows you to audit events generated when a process is created or starts. Также проводится аудит имени приложения и пользователя, создав процесс. The name of the application and user that created the process is also audited.

Тип компьютера Computer Type	Общий успех General Success	Общий сбой General Failure	Более успешный успех Stronger Success	Более сильное сбой Stronger Failure	Комментарии Comments
Контроллер домена Domain Controller	Да Yes	Нет No	Да Yes	Нет No	Обычно полезно собирать сведения об аудите успешности для этой подкатегории для экспертных исследований, чтобы найти информацию о том, кто, когда и с помощью каких параметров\параметры запустил конкретный процесс. It is typically useful to collect Success auditing information for this subcategory for forensic investigations, to find information who, when and with which options\parameters ran specific process. Кроме того, вы можете анализировать события создания процессов для использования учетных данных с повышенными полномочиями, потенциальных вредоносных имен процессов и так далее. Additionally, you can analyse process creation events for elevated credentials use, potential malicious process names and so on. Объем событий обычно имеет средний уровень в зависимости от действий процесса на компьютере. The event volume is typically medium-high level, depending on the process activity on the computer. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.
Сервер-член Member Server	Да Yes	Нет No	Да Yes	Нет No	Обычно полезно собирать сведения об аудите успешности для этой подкатегории для экспертных исследований, чтобы найти информацию о том, кто, когда и с помощью каких параметров\параметры запустил конкретный процесс. It is typically useful to collect Success auditing information for this subcategory for forensic investigations, to find information who, when and with which options\parameters ran specific process. Кроме того, вы можете анализировать события создания процессов для использования учетных данных с повышенными полномочиями, потенциальных вредоносных имен процессов и так далее. Additionally, you can analyse process creation events for elevated credentials use, potential malicious process names and so on. Объем событий обычно имеет средний уровень в зависимости от действий процесса на компьютере. The event volume is typically medium-high level, depending on the process activity on the computer. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.
Workstation Workstation	Да Yes	Нет No	Да Yes	Нет No	Обычно полезно собирать сведения об аудите успешности для этой подкатегории для экспертных исследований, чтобы найти информацию о том, кто, когда и с помощью каких параметров\параметры запустил конкретный процесс. It is typically useful to collect Success auditing information for this subcategory for forensic investigations, to find information who, when and with which options\parameters ran specific process. Кроме того, вы можете анализировать события создания процессов для использования учетных данных с повышенными полномочиями, потенциальных вредоносных имен процессов и так далее. Additionally, you can analyse process creation events for elevated credentials use, potential malicious process names and so on. Объем событий обычно имеет средний уровень в зависимости от действий процесса на компьютере. The event volume is typically medium-high level, depending on the process activity on the computer. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory.

Список событий: Events List:

4688(S): создан новый процесс. 4688(S): A new process has been created.

4696(S): для обработки назначен основной маркер. 4696(S): A primary token was assigned to process.

Аудит процесса командной строки Command line process auditing

Область применения: Windows Server 2016, Windows Server 2012 R2 Applies To: Windows Server 2016, Windows Server 2012 R2

Автор: Джастин Тернер, старший инженер по расширению поддержки с группой Windows Author: Justin Turner, Senior Support Escalation Engineer with the Windows group

Этот материал создан инженером службы поддержки клиентов Майкрософт и предназначен для опытных администраторов и архитекторов систем, которым нужны более глубокие технические сведения о функциях и решениях в Windows Server 2012 R2, а не обычная информация, доступная в статьях на сайте TechNet. This content is written by a Microsoft customer support engineer, and is intended for experienced administrators and systems architects who are looking for deeper technical explanations of features and solutions in Windows Server 2012 R2 than topics on TechNet usually provide. Однако он не был отредактирован согласно требованиям сайта, поэтому некоторые формулировки могут быть не такими выверенными, как на станицах TechNet. However, it has not undergone the same editing passes, so some of the language may seem less polished than what is typically found on TechNet.

Обзор Overview

Предварительно существующий событие аудита создания процесса с ИДЕНТИФИКАТОРом 4688 теперь включает сведения об аудите для процессов командной строки. The pre-existing process creation audit event ID 4688 will now include audit information for command line processes.

Он также регистрирует хэш SHA1/2 исполняемого файла в журнале событий AppLocker. It will also log SHA1/2 hash of the executable in the Applocker event log

• Логс\микрософт\виндовс\апплоккер приложений и служб Application and Services Logs\Microsoft\Windows\AppLocker

Вы включаете через GPO, но по умолчанию отключено. You enable via GPO, but it is disabled by default

• «Включить командную строку в события создания процесса» «Include command line in process creation events»

Рисунок SEQ рис. \ * 16. событие 4688 Figure SEQ Figure \* ARABIC 16 Event 4688

Ознакомьтесь с обновленным событием с ИДЕНТИФИКАТОРом 4688 в REF _Ref366427278 \h рис. 16. Review the updated event ID 4688 in REF _Ref366427278 \h Figure 16. До этого обновления ни одна из сведений о командной строке процесса не заносится в журнал. Prior to this update none of the information for Process Command Line gets logged. В связи с этим дополнительным протоколированием теперь можно увидеть, что не только был запущен процесс wscript.exe, но также он использовался для выполнения сценария VB. Because of this additional logging we can now see that not only was the wscript.exe process started, but that it was also used to execute a VB script.

Конфигурация Configuration

Чтобы увидеть последствия этого обновления, необходимо включить два параметра политики. To see the effects of this update, you will need to enable two policy settings.

Для просмотра события с ИДЕНТИФИКАТОРом 4688 необходимо включить аудит создания процессов аудита. You must have Audit Process Creation auditing enabled to see event ID 4688.

Чтобы включить политику создания процесса аудита, измените следующую групповую политику: To enable the Audit Process Creation policy, edit the following group policy:

Расположение политики: Конфигурация компьютера политики > > параметры Windows > параметры безопасности > Расширенная настройка аудита > подробное отслеживание Policy location: Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Configuration > Detailed Tracking

Имя политики: Аудит создания процесса Policy Name: Audit Process Creation

Поддерживается в: Windows 7 и более поздние версии Supported on: Windows 7 and above

Описание/Справка: Description/Help:

Этот параметр политики безопасности определяет, создает ли операционная система события аудита при создании процесса (запускается) и имя программы или пользователя, создавшего его. This security policy setting determines whether the operating system generates audit events when a process is created (starts) and the name of the program or user that created it.

Эти события аудита могут помочь понять, как используется компьютер и как отслеживать действия пользователей. These audit events can help you understand how a computer is being used and to track user activity.

Том событий: от низкого до среднего в зависимости от использования системы Event volume: Low to medium, depending on system usage

По умолчанию: Не настроено Default: Not configured

Чтобы увидеть дополнения к событию с ИДЕНТИФИКАТОРом 4688, необходимо включить новый параметр политики: включить командную строку в события создания процесса In order to see the additions to event ID 4688, you must enable the new policy setting: Include command line in process creation events

Таблица SEQ таблица номер \ * Арабский 19 параметр политики процесса командной строки Table SEQ Table \* ARABIC 19 Command line process policy setting

Настройка политики Policy Configuration	Сведения Details
Путь Path	Создание административного Темплатес\систем\аудит процесса Administrative Templates\System\Audit Process Creation
Параметр Setting	Включить командную строку в события создания процесса Include command line in process creation events
Параметр по умолчанию Default setting	Не настроено (не включено) Not Configured (not enabled)
Поддерживается в: Supported on:	? ?
Описание Description	Этот параметр политики определяет, какие сведения регистрируются в событиях аудита безопасности при создании нового процесса. This policy setting determines what information is logged in security audit events when a new process has been created. Этот параметр применяется только при включенной политике создания процессов аудита. This setting only applies when the Audit Process Creation policy is enabled. Если включить этот параметр политики, сведения о командной строке для каждого процесса будут регистрироваться в виде обычного текста в журнале событий безопасности в рамках события создания процесса аудита 4688, «новый процесс создан» на рабочих станциях и серверах, на которых применяется этот параметр политики. If you enable this policy setting the command line information for every process will be logged in plain text in the security event log as part of the Audit Process Creation event 4688, «a new process has been created,» on the workstations and servers on which this policy setting is applied. Если вы отключаете или не настраиваете этот параметр политики, сведения о командной строке процесса не будут включаться в события создания процесса аудита. If you disable or do not configure this policy setting, the process’s command line information will not be included in Audit Process Creation events. По умолчанию: не настроено Default: Not configured Примечание. Если этот параметр политики включен, любой пользователь, имеющий доступ для чтения событий безопасности, сможет считывать аргументы командной строки для всех успешно созданных процессов. Note: When this policy setting is enabled, any user with access to read the security events will be able to read the command line arguments for any successfully created process. Аргументы командной строки могут содержать конфиденциальную или закрытую информацию, например пароли или данные пользователя. Command line arguments can contain sensitive or private information such as passwords or user data.

При использовании параметров конфигурации расширенной политики аудита необходимо убедиться, что эти параметры не заменены на параметры базовой политики. When you use Advanced Audit Policy Configuration settings, you need to confirm that these settings are not overwritten by basic audit policy settings. Событие 4719 регистрируется при перезаписи параметров. Event 4719 is logged when the settings are overwritten.

В описанной ниже процедуре показано, как можно предотвратить конфликты путем блокирования применения любых параметров базовой политики аудита. The following procedure shows how to prevent conflicts by blocking the application of any basic audit policy settings.

Проверка того, что параметры конфигурации расширенной политики аудита не перезаписаны To ensure that Advanced Audit Policy Configuration settings are not overwritten

Открытие консоли управления групповая политика Open the Group Policy Management console

Щелкните правой кнопкой мыши пункт Политика домена по умолчанию и выберите команду Изменить. Right-click Default Domain Policy, and then click Edit.

Дважды щелкните пункт Конфигурация компьютера, дважды щелкните пункт Политики, а затем дважды щелкните Параметры Windows. Double-click Computer Configuration, double-click Policies, and then double-click Windows Settings.

Дважды щелкните Параметры безопасности, дважды щелкните Локальные политики, а затем выберите параметры безопасности. Double-click Security Settings, double-click Local Policies, and then click Security Options.

Дважды щелкните пункт Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии), а затем щелкните Определить этот параметр политики. Double-click Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings, and then click Define this policy setting.

Выберите вариант Включен, а затем нажмите кнопку ОК. Click Enabled, and then click OK.

Дополнительные ресурсы Additional Resources

Попробуйте сделать это: обзор процесса командной строки аудит Try This: Explore command line process auditing

Включите Аудит событий создания процесса аудита и убедитесь, что конфигурация политики расширенного аудита не перезаписана. Enable Audit Process Creation events and ensure the Advance Audit Policy configuration is not overwritten

Создайте скрипт, который будет создавать некоторые интересующие события и выполнять скрипт. Create a script that will generate some events of interest and execute the script. Обратите внимание на события. Observe the events. Скрипт, используемый для создания события в занятии, выглядит следующим образом: The script used to generate the event in the lesson looked like this:

Включение аудита обработки командной строки Enable the command line process auditing

Выполните тот же сценарий, что и раньше, и просмотрите события. Execute the same script as before and observe the events