Содержание

Использование средства устранения неполадок сети в системе Windows
Работа с событиями диагностики беспроводной сети
Как отслеживать сетевую активность с помощью журналов Брандмауэра Windows
Доступ к настройкам фаервола
Доступ к настройкам журнала
Активация журнала событий
Изучение журналов
Расширенная диагностика сети
5145(S, F). Объект сетевой совместной сети был проверен, чтобы узнать, может ли клиент получить желаемый доступ. 5145(S, F): A network share object was checked to see whether client can be granted desired access.
Таблица кодов доступа к файлам Table of file access codes
Значения SDDL для входа в управление доступом SDDL values for Access Control Entry
Рекомендации по контролю безопасности Security Monitoring Recommendations

Использование средства устранения неполадок сети в системе Windows

Для выполнения этих шагов необходимо войти в систему с правами администратора.

При работе средства устранения неполадок сети любая обнаруженная неисправность и способы её исправления отображаются в диалоговом окне средства устранения неполадок сети. При наличии подробных или технических сведений о проблеме и возможных решениях, они хранятся в одном или нескольких журналах событий. Администраторы сети и персонал технической поддержки могут использовать сведения журнала событий для анализа проблем подключения и их исправлений.

Журналы событий средства устранения неполадок сети отображается в окне «Просмотр событий». Журналы событий сохраняются в виде системных событий в папке «Журналы Windows» с кодом события 6100.

События можно отфильтровать таким образом, чтобы отображались только те, которые связаны со средством устранения неполадок сети.

Чтобы открыть событие, дважды щелкните его название.

Работа с событиями диагностики беспроводной сети

Когда средство устранения неполадок сети обнаруживает неполадку беспроводной сети, оно сохраняет эти сведения в журналах событий или в виде события класса модуля поддержки, или информационного события.

За один сеанс диагностики может быть создано одно или несколько событий класса модуля поддержки, но только одно информационное событие.

События класса модуля поддержки. Эти события содержат сводные данные по результатам диагностики и могут дублировать определенные сведения, отраженные в диалоговом окне средства устранения неполадок сети, но могут также предоставлять дополнительную информацию по устранению неполадок, например сведения о проверке подключения, возможностях беспроводной сети и результатах диагностики.

Информационные события. Эти события могут включать сведения о проверенном подключении, настройке беспроводной сети на компьютере и в сети, видимые в сети маршрутизаторы или обнаруженные при диагностике точки доступа, список основных беспроводных сетей компьютера, журнал и статистику подключений, например статистику пакетов и журнала роуминга. Они также содержат сводные ведомости относительно попыток подключения и их состояния, фаз подключения (например, перед соединением, при подключении и настройке безопасности).

Как отслеживать сетевую активность с помощью журналов Брандмауэра Windows

Если вы пользуетесь системой Windows, то скорее всего знаете о на наличии в ней встроенного брандмауэра. Возможно вы также умеете разрешать и блокировать доступ отдельных программ в сеть, чтобы контролировать входящий и исходящий трафик. Но знаете ли вы, что фаервол Windows может быть использован для регистрации всех проходящих через него соединений?

Журналы Брандмауэра Windows могут быть полезны при решении отдельных проблем:

Используемая программа не может подключиться к Интернету, несмотря на то, что с другими приложениями эта проблема не наблюдается. В данном случае для устранения неисправности следует проверить, не блокирует ли системный фаервол запросы данной программы на подключение.
Вы подозреваете, что компьютер используется для передачи данных вредоносной программой и хотите провести мониторинг исходящего трафика на предмет подозрительных запросов подключения.
Вы создали новые правила разрешения и блокировки доступа и хотите убедиться, что фаервол корректно обрабатывает заданные инструкции.

Независимо от причин использования, включение протоколирования событий может быть сложной задачей, так как требует многих манипуляций с настройками. Приведем четкий алгоритм действий, как активировать регистрацию сетевой активности в фаерволе Windows.

Доступ к настройкам фаервола

Во-первых, нужно перейти к расширенным настройкам брандмауэра Windows. Откройте панель управления (клик правой кнопкой мыши по меню Пуск, опция “Панель управления”), затем нажмите ссылку “Брандмауэр Windows”, если стоит режим просмотра мелкие/крупные значки, либо выберите раздел “Система и безопасность”, а затем “Брандмауэр Windows”, если стоит режим просмотра категория.

В окне фаервола выберите опцию в левом навигационном меню “Дополнительные параметры”.

Вы увидите следующий экран настроек:

Это внутренняя техническая сторона брандмауэра Windows. Данный интерфейс позволяет разрешать или блокировать доступ программ в Интернет, настраивать входящие и исходящий трафик. Кроме того, именно здесь можно активировать функцию регистрации событий — хотя не сразу понятно, где это можно сделать.

Доступ к настройкам журнала

Во-первых, выберите опцию “Брандмауэр Windows в режиме повышенной безопасности (Локальный компьютер)”.

Кликните правой кнопкой мыши по ней и выберите опцию “Свойства”.

Откроется окно, которое может запутать пользователя. При выборе трех вкладок (Профиль домена, Частный профиль, Общий профиль) можно заметить, что их содержимое идентично, но относится к трем различным профилям, название которых указано в заголовке вкладки. На вкладке каждого профиля содержится кнопка настройки ведения журнала. Каждый журнал будет соответствовать отдельному профилю, но какой профиль используете вы?

Рассмотрим, что означает каждый профиль:

Профиль домена используется для подключения к беспроводной сети Wi-Fi, когда домен задается контроллером домена. Если вы не уверены, что это значит, лучше не используйте данный профиль.
Частный профиль используется для подключения к частным сетям, включая домашние или персональные сети — именно данный профиль вы скорее всего будете использовать.
Общий профиль используется для подключения к общественным сетям, включая сети ресторанов, аэропортов, библиотек и других учреждений.

Если вы используете компьютер в домашней сети, перейдите на вкладку “Частный профиль”. Если используется публичная сеть, перейдите на вкладку “Общий профиль”. Нажмите кнопку “Настроить” в секции “Ведение журнала” на корректной вкладке.

Активация журнала событий

В открывшемся окне вы можете настроить расположение и максимальный размер журнала. Можно задать легко запоминающееся место для лога, но на самом деле локация файла журнала не имеет особо значения. Если вы хотите запустить регистрацию событий, в обоих выпадающих меню “Записывать пропущенные пакеты” и “Записывать успешные подключения” установите значение “Да” и нажмите кнопку “ОК”. Постоянная работа функции может привести к проблемам производительности, поэтому активируйте ее только когда действительно нужно выполнить мониторинг подключений. Для отключения функции логирования установите значение “Нет (по умолчанию)” в обоих выпадающих меню.

Изучение журналов

Теперь компьютер будет фиксировать сетевую активность, контролируемую фаерволом. Для того, чтобы просмотреть логи, перейдите в окно “Дополнительные параметры”, выберите опцию “Наблюдение” в левом списке, а затем в секции “Параметры ведения журнала” кликните ссылку “Имя файла”.

Затем откроется журнал сетевой активности. Содержимое журнала может запутать неопытного пользователя. Рассмотрим основное содержимое записей журнала:

Дата и время подключения.
Что произошло с подключением. Статус “ALLOW” означает, что фаервол разрешил подключение, а статус “DROP” показывает, что подключение было заблокировано фаерволом. Если вы столкнулись с проблемами подключения к сети отдельной программы, то сможете точно определить, что причина проблемы связана с политикой брандмауэра.
Тип подключения — TCP или UDP.
По порядку: IP-адрес источника подключения (компьютера), IP-адрес получателя (например, веб-страницы) и используемый на компьютере сетевой порт. Данная запись позволяет выявлять порты, которые требуют открытия для работы ПО. Также следите за подозрительными подключениями — они могут быть совершены вредоносными программами.
Был ли успешно отправлен или получен пакет данных.

Информация в журнале поможет выяснить причину проблем подключения. Журналы могут регистрировать и другую активность, например, целевой порт или номер подтверждения TCP. Если вам нужны подробности, ознакомьтесь со строкой “#Fields” в верхней части лога, чтобы идентифицировать значение каждого показателя.

Не забудьте отключить функцию ведения журнала после завершения работы.

Расширенная диагностика сети

С помощью использования журнала брандмауэра Windows, вы можете проанализировать типы данных, обрабатываемых на компьютере. Кроме того, можно установить причины проблем с сетью, связанные с работой фаервола или другими объектами, нарушающими соединения. Журнал активности позволяет ознакомиться с работой фаервола и получить четкое представление о происходящем в сети.

5145(S, F). Объект сетевой совместной сети был проверен, чтобы узнать, может ли клиент получить желаемый доступ. 5145(S, F): A network share object was checked to see whether client can be granted desired access.

Относится к: Applies to

Windows 10 Windows 10
Windows Server 2016 Windows Server 2016

Описание события: Event Description:

Это событие создает каждый раз, когда объект сетевого доступа (файл или папка) был доступ. This event generates every time network share object (file or folder) was accessed.

Важно: события сбоя создаются только при отказе в доступе на уровне файловой доли. Important: Failure events are generated only when access is denied at the file share level. События не создаются, если доступ был отказано на уровне файловой системы (NTFS). No events are generated if access was denied on the file system (NTFS) level.

Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. Note For recommendations, see Security Monitoring Recommendations for this event.

XML события: Event XML:

Необходимые роли сервера: нет. Required Server Roles: None.

Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.

Версии события: 0. Event Versions: 0.

Описания полей: Field Descriptions:

Тема: Subject:

Security ID [Type = SID]: SID учетной записи, запрашиваемой для доступа к объекту сетевой совместной работы. Security ID [Type = SID]: SID of account that requested access to network share object. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Event Viewer automatically tries to resolve SIDs and show the account name. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные. If the SID cannot be resolved, you will see the source data in the event.

Примечание. . Идентификатор безопасности (SID) представляет собой строковое значение переменной длины, которое используется для идентификации доверенного лица (субъекта безопасности). Note A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности. For more information about SIDs, see Security identifiers.

Имя учетной записи [Type = UnicodeString]— имя учетной записи, запрашиваемой для доступа к объекту сетевой совместной работы. Account Name [Type = UnicodeString]: the name of the account that requested access to network share object.

Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Account Domain [Type = UnicodeString]: subject’s domain or computer name. Форматы различаются и включают в себя следующее: Formats vary, and include the following:

Пример имени домена NETBIOS: CONTOSO Domain NETBIOS name example: CONTOSO

Полное имя домена в нижнем регистре: contoso.local Lowercase full domain name: contoso.local

Полное имя домена в верхнем регистре: CONTOSO.LOCAL Uppercase full domain name: CONTOSO.LOCAL

Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY». For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.

Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81». For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.

Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.” Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”

Сведения о сети: Network Information:

Тип объекта [Type = UnicodeString]: тип объекта, доступ к который был доступ во время операции. Object Type [Type = UnicodeString]: The type of an object that was accessed during the operation. Всегда «Файл» для этого события. Always “File” for this event.

В следующей таблице содержится список наиболее распространенных типов объектов: The following table contains the list of the most common Object Types:

Directory Directory	Событие Event	Таймер Timer	Устройство Device
Мутант Mutant	Тип Type	Файл File	Маркер Token
Thread Thread	Раздел Section	WindowStation WindowStation	DebugObject DebugObject
FilterCommunicationPort FilterCommunicationPort	EventPair EventPair	«Драйвер» Driver	IoCompletion IoCompletion
Контроллер Controller	SymbolicLink SymbolicLink	WmiGuid WmiGuid	Процесс Process
Профиль Profile	Desktop Desktop	KeyedEvent KeyedEvent	Адаптер Adapter
Раздел Key	WaitablePort WaitablePort	Callback Callback	Семафор Semaphore
Job Job	Port Port	FilterConnectionPort FilterConnectionPort	Порт ALPC ALPC Port

Исходный адрес [Type = UnicodeString]: исходный IP-адрес, с которого был выполнен доступ. Source Address [Type = UnicodeString]: source IP address from which access was performed.

Адрес IPv6 или ::ffff:IPv4 адреса клиента. IPv6 address or ::ffff:IPv4 address of a client.

::1 или 127.0.0.1 означает localhost. ::1 or 127.0.0.1 means localhost.

Исходный порт [Type = UnicodeString]: исходный TCP или порт UDP, который использовался с удаленной или локальной машины для запроса доступа. Source Port [Type = UnicodeString]: source TCP or UDP port which was used from remote or local machine to request the access.

0 для локальных попыток доступа. 0 for local access attempts.

Сведения о совместном делиться: Share Information:

Имя share [Type = UnicodeString]: имя доступного сетевого доступа. Share Name [Type = UnicodeString]: the name of accessed network share. Формат: \\\\SHARE_NAME. The format is: \\*\SHARE_NAME.

Share Path [Type = UnicodeString]: полный путь системы (NTFS) для доступа к совместной информации. Share Path [Type = UnicodeString]: the full system (NTFS) path for accessed share. Формат: \\?? \PATH. The format is: \\??\PATH. Может быть пустым, например для Share Name: \\IPC$. Can be empty, for example for Share Name: \\*\IPC$.

Относительное целевое имя [Type = UnicodeString]: относительное имя доступного целевого файла или папки. Relative Target Name [Type = UnicodeString]: relative name of the accessed target file or folder. Этот файл-путь относительно сетевой доли. This file-path is relative to the network share. Если для самой доли запрашивался доступ, это поле отображается как \ «. If access was requested for the share itself, then this field appears as “\”.

Сведения о запросе на доступ: Access Request Information:

Access Mask [Type = HexInt32]: сумма hexadecimal значений запрашиваемого права доступа. Access Mask [Type = HexInt32]: the sum of hexadecimal values of requested access rights. См. таблицу 13. See “Table 13. Коды доступа к файлам». File access codes.” для различных hexadecimal значений для прав доступа. for different hexadecimal values for access rights.

Доступ [Тип = UnicodeString]: список прав доступа, запрашиваемого Subject\Security ID. Accesses [Type = UnicodeString]: the list of access rights which were requested by Subject\Security ID. Эти права доступа зависят от типа объекта. These access rights depend on Object Type.

Таблица кодов доступа к файлам Table of file access codes

Access Access	Значение Hex, Hex Value, Значение схемы Schema Value	Описание Description
ReadData (или ListDirectory) ReadData (or ListDirectory)	0x1, 0x1, %%4416 %%4416	ReadData — Для объекта файла право на чтение соответствующих данных файла. ReadData — For a file object, the right to read the corresponding file data. Для объекта каталога право на чтение соответствующих данных каталога. For a directory object, the right to read the corresponding directory data. ListDirectory — Для каталога право на список содержимого каталога. ListDirectory — For a directory, the right to list the contents of the directory.
WriteData (или AddFile) WriteData (or AddFile)	0x2, 0x2, %%4417 %%4417	WriteData — Для объекта файла право записи данных в файл. WriteData — For a file object, the right to write data to the file. Для объекта каталога право на создание файла в каталоге (FILE_ADD_FILE). For a directory object, the right to create a file in the directory (FILE_ADD_FILE). AddFile — Для каталога право на создание файла в каталоге. AddFile — For a directory, the right to create a file in the directory.
AppendData (или AddSubdirectory или CreatePipeInstance) AppendData (or AddSubdirectory or CreatePipeInstance)	0x4, 0x4, %%4418 %%4418	AppendData — Для объекта файла право на приложение данных к файлу. AppendData — For a file object, the right to append data to the file. (Для локальных файлов операции записи не будут переписать существующие данные, если этот флаг указан без FILE_WRITE_DATA.) Для объекта каталога право на создание подтекстого (FILE_ADD_SUBDIRECTORY). (For local files, write operations will not overwrite existing data if this flag is specified without FILE_WRITE_DATA.) For a directory object, the right to create a subdirectory (FILE_ADD_SUBDIRECTORY). AddSubdirectory — Для каталога право на создание поднаправления. AddSubdirectory — For a directory, the right to create a subdirectory. CreatePipeInstance — Для названной трубы право на создание трубы. CreatePipeInstance — For a named pipe, the right to create a pipe.
ReadEA ReadEA	0x8, 0x8, %%4419 %%4419	Право на чтение атрибутов расширенного файла. The right to read extended file attributes.
WriteEA WriteEA	0x10, 0x10, %%4420 %%4420	Право на написание атрибутов расширенного файла. The right to write extended file attributes.
Выполнение/обход Execute/Traverse	0x20, 0x20, %%4421 %%4421	Выполнение . Для файла кода, права на выполнение файла. Execute — For a native code file, the right to execute the file. Это право доступа к скриптам может привести к исполняемой сценарию в зависимости от переводчика сценария. This access right given to scripts may cause the script to be executable, depending on the script interpreter. Traverse — Для каталога право на обход каталога. Traverse — For a directory, the right to traverse the directory. По умолчанию пользователям назначена привилегия BYPASS_TRAVERSE_CHECKING, которая игнорирует право доступа FILE_TRAVERSE. By default, users are assigned the BYPASS_TRAVERSE_CHECKING privilege, which ignores the FILE_TRAVERSE access right. Дополнительные сведения см. в замечаниях в области безопасности файлов и прав доступа. See the remarks in File Security and Access Rights for more information.
DeleteChild DeleteChild	0x40, 0x40, %%4422 %%4422	Для каталога имеется право удалить каталог и все файлы, которые в нем содержатся, включая файлы только для чтения. For a directory, the right to delete a directory and all the files it contains, including read-only files.
ReadAttributes ReadAttributes	0x80, 0x80, %%4423 %%4423	Право на чтение атрибутов файлов. The right to read file attributes.
WriteAttributes WriteAttributes	0x100, 0x100, %%4424 %%4424	Право на написание атрибутов файлов. The right to write file attributes.
DELETE DELETE	0x10000, 0x10000, %%1537 %%1537	Право на удаление объекта. The right to delete the object.
READ_CONTROL READ_CONTROL	0x20000, 0x20000, %%1538 %%1538	Право на чтение сведений в дескрипторе безопасности объекта, не включая сведения в списке управления доступом к системе (SACL). The right to read the information in the object’s security descriptor, not including the information in the system access control list (SACL).
WRITE_DAC WRITE_DAC	0x40000, 0x40000, %%1539 %%1539	Право изменять дискреционный список управления доступом (DACL) в дескрипторе безопасности объекта. The right to modify the discretionary access control list (DACL) in the object’s security descriptor.
WRITE_OWNER WRITE_OWNER	0x80000, 0x80000, %%1540 %%1540	Право изменить владельца в дескрипторе безопасности объекта The right to change the owner in the object’s security descriptor
СИНХРОНИЗАЦИЯ SYNCHRONIZE	0x100000, 0x100000, %%1541 %%1541	Право на использование объекта для синхронизации. The right to use the object for synchronization. Это позволяет потоку ждать, пока объект находится в сигнальных состояниях. This enables a thread to wait until the object is in the signaled state. Некоторые типы объектов не поддерживают это право доступа. Some object types do not support this access right.
ACCESS_SYS_SEC ACCESS_SYS_SEC	0x1000000, 0x1000000, %%1542 %%1542	Право доступа _SYS_SEC управления возможностью получения или набора SACL в дескрипторе безопасности объекта. The ACCESS_SYS_SEC access right controls the ability to get or set the SACL in an object’s security descriptor.

Таблица13. Table 13. Коды доступа к файлам. File access codes.

Результаты проверки доступа [Type = UnicodeString]: список результатов проверки доступа. Access Check Results [Type = UnicodeString]: the list of access check results. Формат результатов: The format of the result is:

REQUESTED_ACCESS: ACE RESULT_WHICH_ ALLOWED_OR_DENIED_ACCESS. REQUESTED_ACCESS: RESULT ACE_WHICH_ ALLOWED_OR_DENIED_ACCESS.

REQUESTED_ACCESS — имя запрашиваемого доступа. REQUESTED_ACCESS – the name of requested access. См. таблицу кодов доступа к файлам, ранее в этой теме. See Table of file access codes, earlier in this topic.

Предоставляется — если доступ был предоставлен. Granted by – if access was granted.

Отклонено путем — если доступ был отказано. Denied by – if access was denied.

ACE_WHICH_ ALLOWED_OR_DENIED_ACCESS: значение Языка определения дескриптора безопасности (SDDL) для входа в управление доступом (ACE), которому был предоставлен или отказано в доступе. ACE_WHICH_ ALLOWED_OR_DENIED_ACCESS: the Security Descriptor Definition Language (SDDL) value for Access Control Entry (ACE), which granted or denied access.

**** Примечание Язык определения дескриптора безопасности ** (SDDL)** определяет строковые элементы для определения сведений, содержащихся в дескрипторе безопасности. Note The Security Descriptor Definition Language (SDDL) defines string elements for enumerating information contained in the security descriptor.

O:BA**G:SYD:(D;;0 xf0007;;; AN)(D;;0 xf0007;;; BG)(A;;0 xf0007;;; SY)(A;;0 ×7;;; BA)** S:ARAI(AU; SAFA;DCLCRPCRSDWDWO;;; WD) O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0×7;;;BA)S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)

O: = Owner. O: = Owner. SID определенного основного значения безопасности или зарезервированного (заранее определенного) значения, например: BA (BUILTIN_ADMINISTRATORS), WD (все), SY (LOCAL_SYSTEM) и т.д. Список возможных значений см. в таблице ниже. SID of specific security principal, or reserved (pre-defined) value, for example: BA (BUILTIN_ADMINISTRATORS), WD (Everyone), SY (LOCAL_SYSTEM), etc. See the list of possible values in the table below.

Значения SDDL для входа в управление доступом SDDL values for Access Control Entry

Значение Value	Описание Description	Значение Value	Описание Description
«AO» «AO»	Операторы учетных записей Account operators	«PA» «PA»	Администраторы групповой политики Group Policy administrators
«RU» «RU»	Псевдоним, позволяющий разрешить предыдущую Windows 2000 Alias to allow previous Windows 2000	«IU» «IU»	Интерактивный вход пользователя Interactively logged-on user
«АН» «AN»	Анонимный логотип Anonymous logon	«LA» «LA»	Локальный администратор Local administrator
«AU» «AU»	Аутентификация пользователей Authenticated users	«LG» «LG»	Местный гость Local guest
«BA» «BA»	Встроенные администраторы Built-in administrators	«LS» «LS»	Учетная запись локальной службы Local service account
«BG» «BG»	Встроенные гости Built-in guests	«SY» «SY»	Локализованная система Local system
«BO» «BO»	Операторы резервного копирования Backup operators	«NU» «NU»	Пользователь логотипа сети Network logon user
«BU» «BU»	Встроенные пользователи Built-in users	«НЕТ» «NO»	Операторы конфигурации сети Network configuration operators
«CA» «CA»	Администраторы серверов сертификатов Certificate server administrators	«NS» «NS»	Учетная запись сетевой службы Network service account
«CG» «CG»	Группа создателей Creator group	«PO» «PO»	Операторы принтеров Printer operators
«CO» «CO»	Владелец создателя Creator owner	«PS» «PS»	Личное самоуправление Personal self
«DA» «DA»	Администраторы домена Domain administrators	«PU» «PU»	Power users Power users
«DC» «DC»	Компьютеры домена Domain computers	«RS» «RS»	Группа серверов RAS RAS servers group
«DD» «DD»	Контроллеры домена Domain controllers	«RD» «RD»	Пользователи серверов терминала Terminal server users
«DG» «DG»	Гости домена Domain guests	«RE» «RE»	Репликатор Replicator
«DU» «DU»	Пользователи домена Domain users	«RC» «RC»	Код с ограниченным доступом Restricted code
«EA» «EA»	Администраторы предприятий Enterprise administrators	«SA» «SA»	Администраторы схемы Schema administrators
«ED» «ED»	Контроллеры корпоративных доменов Enterprise domain controllers	«SO» «SO»	Операторы серверов Server operators
«WD» «WD»	Все пользователи Everyone	«SU» «SU»	Пользователь логотипа службы Service logon user

G: = Основная группа. G: = Primary Group.
D: = Записи DACL. D: = DACL Entries.
S: = Записи SACL. S: = SACL Entries.

Формат входа DACL/SACL: entry_type:inheritance_flags(ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid) DACL/SACL entry format: entry_type:inheritance_flags(ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid)

Пример: D:(A;; FA;; WD) Example: D:(A;;FA;;;WD)

«D» — DACL “D” — DACL

«S» — SACL “S” — SACL

«P» — SDDL_PROTECTED, наследование из контейнеров с более высокими уровнями иерархии папок блокируется. «P” — SDDL_PROTECTED, Inheritance from containers that are higher in the folder hierarchy are blocked.

«AI» — SDDL_AUTO_INHERITED, наследование разрешено, если предположить, что «P» также не установлен. «AI» — SDDL_AUTO_INHERITED, Inheritance is allowed, assuming that «P» Is not also set.

«AR» — SDDL_AUTO_INHERIT_REQ, детские объекты наследуют разрешения от этого объекта. «AR» — SDDL_AUTO_INHERIT_REQ, Child objects inherit permissions from this object.

«A» — РАЗРЕШЕН ДОСТУП «A» — ACCESS ALLOWED

«D» — ОТКАЗАНО В ДОСТУПЕ «D» — ACCESS DENIED

«OA» — РАЗРЕШЕННЫЙ ДОСТУП к объекту: применяется только к подмножество объекта(ы). «OA» — OBJECT ACCESS ALLOWED: only applies to a subset of the object(s).

«OD» — ОБЪЕКТНЫЙ ДОСТУП ОТКАЗАНО: применяется только к подмножество объекта (s). «OD» — OBJECT ACCESS DENIED: only applies to a subset of the object(s).

«AU» — СИСТЕМНЫЙ АУДИТ «AU» — SYSTEM AUDIT

«A» — СИСТЕМНАЯ СИГНАЛИЗАЦИЯ «A» — SYSTEM ALARM

«OU» — АУДИТ СИСТЕМЫ ОБЪЕКТОВ «OU» — OBJECT SYSTEM AUDIT

«OL» — ОБЪЕКТНАЯ СИСТЕМНАЯ СИГНАЛИЗАЦИЯ «OL» — OBJECT SYSTEM ALARM

«CI» — CONTAINER INHERIT: Детские объекты, которые являются контейнерами, например каталоги, наследуют ACE как явный ACE. «CI» — CONTAINER INHERIT: Child objects that are containers, such as directories, inherit the ACE as an explicit ACE.

«OI» — OBJECT INHERIT: Объекты, которые не являются контейнерами, наследуют ACE в качестве явного ACE. «OI» — OBJECT INHERIT: Child objects that are not containers inherit the ACE as an explicit ACE.

«NP» — NO PROPAGATE: только непосредственные дети наследуют этот туз. «NP» — NO PROPAGATE: only immediate children inherit this ace.

«IO» — ТОЛЬКО НАСЛЕДОВАНИЕ: туз не применяется к этому объекту, но может влиять на детей с помощью наследования. «IO» — INHERITANCE ONLY: ace doesn’t apply to this object, but may affect children via inheritance.

«ID» — ACE НАСЛЕДУЕТСЯ «ID» — ACE IS INHERITED

«SA» — УСПЕШНЫЙ АУДИТ ДОСТУПА «SA» — SUCCESSFUL ACCESS AUDIT

«FA» — АУДИТ НЕУДАВАЕМОГО ДОСТУПА «FA» — FAILED ACCESS AUDIT

права: гексадецимальная строка, которая обозначает маску доступа или зарезервированное значение, например: FA (Файл всех доступов), FX (File Execute), FW (File Write) и т. д. rights: A hexadecimal string which denotes the access mask or reserved value, for example: FA (File All Access), FX (File Execute), FW (File Write), etc.

Значение Value	Описание Description	Значение Value	Описание Description
Общие права доступа Generic access rights	Права на доступ к службам directory Directory service access rights
«GA» «GA»	GENERIC ALL GENERIC ALL	«RC» «RC»	Чтение разрешений Read Permissions
«GR» «GR»	ОБЩИЙ ТЕКСТ GENERIC READ	«SD» «SD»	Delete Delete
«GW» «GW»	ОБЩИЕ ЗАПИСИ GENERIC WRITE	«WD» «WD»	Изменение разрешений Modify Permissions
«GX» «GX»	GENERIC EXECUTE GENERIC EXECUTE	«WO» «WO»	Изменение владельца Modify Owner
Права доступа к файлам File access rights	«RP» «RP»	Чтение всех свойств Read All Properties
«FA» «FA»	ФАЙЛ ВСЕ ДОСТУП FILE ALL ACCESS	«WP» «WP»	Запись всех свойств Write All Properties
«FR» «FR»	ОБЩИЙ ФАЙЛ ЧТЕНИЯ FILE GENERIC READ	«CC» «CC»	Создание всех детских объектов Create All Child Objects
«FW» «FW»	ОБЩИЙ ФАЙЛ ЗАПИСИ FILE GENERIC WRITE	«DC» «DC»	Удаление всех детских объектов Delete All Child Objects
«FX» «FX»	ВЫПОЛНЕНИЕ ОБЩЕГО ФАЙЛА FILE GENERIC EXECUTE	«LC» «LC»	Содержимое списка List Contents
Права доступа к ключам реестра Registry key access rights	«SW» «SW»	Все проверенные записи All Validated Writes
«KA» «KA»	«LO» «LO»	«LO» «LO»	Объект List List Object
«K» «K»	ЧТЕНИЕ КЛЮЧЕЙ KEY READ	«DT» «DT»	Удаление subtree Delete Subtree
«KW» «KW»	KEY WRITE KEY WRITE	«CR» «CR»	Все расширенные права All Extended Rights
«KX» «KX»	ВЫПОЛНЕНИЕ КЛЮЧА KEY EXECUTE

object_guid: N/A object_guid: N/A
inherit_object_guid: N/A inherit_object_guid: N/A
account_sid: SID определенного основного или зарезервированного значения, например AN (Anonymous), WD (Все), SY (LOCAL_SYSTEM) и т.д. Дополнительные сведения см. в таблице выше. account_sid: SID of specific security principal, or reserved value, for example: AN (Anonymous), WD (Everyone), SY (LOCAL_SYSTEM), etc. See the table above for more details.

Windows код события сеть