Управление журналом аудита и безопасности Manage auditing and security log

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности «Управление аудитом и журналом безопасности». Describes the best practices, location, values, policy management, and security considerations for the Manage auditing and security log security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие пользователи могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и ключи реестра. This policy setting determines which users can specify object access audit options for individual resources such as files, Active Directory objects, and registry keys. Эти объекты указывают свои системные списки управления доступом (SACL). These objects specify their system access control lists (SACL). Пользователь, которому назначено это право, также может просмотреть и очистить журнал безопасности в окне просмотра событий. A user who is assigned this user right can also view and clear the Security log in Event Viewer. Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more info about the Object Access audit policy, see Audit object access.

Константа: SeSecurityPrivilege Constant: SeSecurityPrivilege

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Администраторы Administrators
• Не определено Not Defined

Рекомендации Best practices

1. Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.
2. Как правило, назначать это право пользователю группам, кроме администраторов, не требуется. Generally, assigning this user right to groups other than Administrators is not necessary.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию этот параметр является администратором на контроллерах домена и на автономных серверах. By default this setting is Administrators on domain controllers and on stand-alone servers.

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Администраторы Administrators
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Администраторы Administrators
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Администраторы Administrators

Управление политикой Policy management

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.

Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Аудит доступа к объектам не выполняется, если их не включить с помощью редактора локальных групповых политик, консоли управления групповыми политиками (GPMC) или средства командной строки Auditpol. Audits for object access are not performed unless you enable them by using the Local Group Policy Editor, the Group Policy Management Console (GPMC), or the Auditpol command-line tool.

Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more information about the Object Access audit policy, see Audit object access.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Любой пользователь с правом на управление аудитом и журналом безопасности может очистить журнал безопасности, чтобы удалить важные признаки несанкционированной деятельности. Anyone with the Manage auditing and security log user right can clear the Security log to erase important evidence of unauthorized activity.

Противодействие Countermeasure

Убедитесь, что только у локальной группы администраторов есть право на управление аудитом и журналом безопасности. Ensure that only the local Administrators group has the Manage auditing and security log user right.

Возможное влияние Potential impact

Настройка по умолчанию ограничивает права пользователя журнала аудита и безопасности только локальной группой администраторов. Restricting the Manage auditing and security log user right to the local Administrators group is the default configuration.

Предупреждение: Если группе, кроме локальной группы администраторов, назначено это право пользователя, удаление этого права пользователя может привести к проблеме производительности в других приложениях. Warning: If groups other than the local Administrators group have been assigned this user right, removing this user right might cause performance issues with other applications. Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.

Аудит объектов Active Directory в Windows Server 2003

В этой пошаговой статье описывается использование аудита Windows Server 2003 для отслеживания действий пользователей и системных событий в Active Directory.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 814595

Аннотация

При использовании аудита Windows Server 2003 на компьютере можно отслеживать как действия пользователей, так и действия с Windows Server 2003 с именами событий. При использовании аудита можно указать, какие события будут записаны в журнал безопасности. Например, журнал безопасности может вести запись как допустимых, так и недопустимых попыток входа и событий, которые связаны с созданием, открытием или удалением файлов или других объектов. Запись аудита в журнале безопасности содержит следующие сведения:

• Выполнено действие.
• Пользователь, выполвший действие.
• Успех или сбой события и время его проведения.

Параметр политики аудита определяет категории событий, которые Windows Server 2003 регистрет в журнале безопасности на каждом компьютере. Журнал безопасности позволяет отслеживать события, которые вы указали.

При аудите событий Active Directory Windows Server 2003 записывает событие в журнал безопасности контроллера домена. Например, если пользователь попытается войти в домен с помощью учетной записи пользователя домена и попытка входа не будет выполнена, событие будет записано на контроллер домена, а не на компьютер, на котором была предпринята попытка входа. Это происходит из-за того, что контроллер домена попытался проверить подлинность попытки регистрации, но не смог сделать это.

Используйте окно просмотра событий для просмотра событий, которые Windows Server 2003 регистрет в журнале безопасности. Вы также можете архивировать файлы журналов для отслеживания тенденций с течением времени. Например, если вы хотите определить использование принтеров или файлов или проверить использование неавторизованных ресурсов.

Чтобы включить аудит объектов Active Directory:

• Настройка параметра политики аудита для контроллера домена. При настройке параметра политики аудита можно проводить аудит объектов, но нельзя указать объект, который нужно аудитировать.
• Настройка аудита для определенных объектов Active Directory. После указания событий для аудита файлов, папок, принтеров и объектов Active Directory Windows Server 2003 отслеживает и записи этих событий.

Настройка параметра политики аудита для контроллера домена

По умолчанию аудит отключен. Для контроллеров домена параметр политики аудита настраивается для всех контроллеров домена в домене. Для аудита событий, происходящих на контроллерах домена, настройте параметр политики аудита, который применяется ко всем контроллерам домена в не локальном объекте групповой политики (GPO) для домена. Доступ к этому параметру политики можно получить через подразделение «Контроллеры домена». Чтобы проверять доступ пользователей к объектам Active Directory, настройте категорию событий доступа к службе каталогов аудита в параметре политики аудита.

• Необходимо предоставить пользователю журнала аудита и безопасности право на компьютер, на котором необходимо настроить параметр политики аудита или просмотреть журнал аудита. По умолчанию Windows Server 2003 предоставляет эти права группе администраторов.
• Файлы и папки, которые необходимо проверять, должны быть в томах файловой системы Microsoft Windows NT файловой системы (NTFS).

Чтобы настроить параметр политики аудита для контроллера домена:

Нажмите кнопку «Начните», выберите пункт «Программы»,«Администрирование» и «Пользователи и компьютеры Active Directory».

В меню Вид выберите пункт Дополнительные параметры.

Щелкните правой кнопкой мыши контроллеры домена и выберите «Свойства».

Перейдите на вкладку «Групповая политика», выберите политику контроллера домена по умолчанию и нажмите кнопку «Изменить».

Щелкните «Конфигурация компьютера», дважды щелкните «Параметры Windows», дважды щелкните «Параметры безопасности», дважды щелкните «Локальные политики», а затем дважды щелкните «Политика аудита».

В правой области щелкните правой кнопкой мыши доступ к службам каталогов аудита и выберите «Свойства».

Щелкните «Определить эти параметры политики» и выберите один или оба следующих флажка:

• Success: Click to select this check box to audit successful attempts for the event category.
• Failure: Click to select this check box to audit failed attempts for the event category.

Щелкните правой кнопкой мыши любую другую категорию событий, для аудита и выберите «Свойства».

Нажмите кнопку ОК.

Так как изменения, внесенные в параметр политики аудита на компьютере, вступает в силу только при распространении или применении параметра политики на компьютере, выполните одно из следующих действий, чтобы инициировать распространение политики:

• Введите gpupdate /Target:computer в командной области и нажмите ввод.
• Дождись автоматического распространения политики, которое будет происходить через определенные интервалы времени, которые можно настроить. По умолчанию распространение политики происходит каждые пять минут.

Откройте журнал безопасности, чтобы просмотреть зарегистрированные события.

Если вы — администратор домена или предприятия, вы можете включить аудит безопасности рабочих станций, рядовых серверов и контроллеров домена удаленно.

Настройка аудита для определенных объектов Active Directory

После настройки параметра политики аудита можно настроить аудит для определенных объектов, таких как пользователи, компьютеры, подразделения или группы, указав как типы доступа, так и пользователей, доступ к которым нужно проверять. Настройка аудита для определенных объектов Active Directory:

Нажмите кнопку «Начните», выберите пункт «Программы»,«Администрирование» и «Пользователи и компьютеры Active Directory».

Убедитесь, что в меню «Вид» выбраны дополнительные функции, убедившись, что рядом с командой есть контрольный знак.

Щелкните правой кнопкой мыши объект Active Directory, который нужно аудит, и выберите «Свойства».

Щелкните вкладку «Безопасность» и выберите «Дополнительные».

Щелкните вкладку «Аудит» и нажмите кнопку «Добавить».

Выполните одно из следующих ок.

• Введите имя пользователя или группы, доступ к которой нужно отлажать, в поле «Введите имя объекта для выбора» и нажмите кнопку «ОК».
• В списке имен дважды щелкните пользователя или группу, доступ к которой нужно проверять.

Щелкните, чтобы выбрать для действий аудита либо успешное, либо «Сбой», а затем нажмите кнопку «ОК».

Щелкните ОК, а затем щелкните ОК.

Устранение неполадок

Размер журнала безопасности ограничен. В связи с этим корпорация Майкрософт рекомендует тщательно выбирать файлы и папки, которые нужно проверять. Также учитывайте объем дискового пространства, который необходимо выделить в журнале безопасности. Максимальный размер определяется в представлении событий.