- Управление журналом аудита и безопасности Manage auditing and security log
- Справочные материалы Reference
- Возможные значения Possible values
- Рекомендации Best practices
- Location Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Групповая политика Group Policy
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Возможное влияние Potential impact
- Защитник Windows получил новый «Журнал защиты» в Windows 10 19H1
- Безопасность Windows в Windows 10, версия 1903 (19H1)
- Как посмотреть журнал событий в Windows 10?
- Окно «Выполнить»
- Поиск по Windows
- Панель управления
- Командная строка
Управление журналом аудита и безопасности Manage auditing and security log
Область применения Applies to
В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности «Управление аудитом и журналом безопасности». Describes the best practices, location, values, policy management, and security considerations for the Manage auditing and security log security policy setting.
Справочные материалы Reference
Этот параметр политики определяет, какие пользователи могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и ключи реестра. This policy setting determines which users can specify object access audit options for individual resources such as files, Active Directory objects, and registry keys. Эти объекты указывают свои системные списки управления доступом (SACL). These objects specify their system access control lists (SACL). Пользователь, которому назначено это право, также может просмотреть и очистить журнал безопасности в окне просмотра событий. A user who is assigned this user right can also view and clear the Security log in Event Viewer. Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more info about the Object Access audit policy, see Audit object access.
Константа: SeSecurityPrivilege Constant: SeSecurityPrivilege
Возможные значения Possible values
- Определяемый пользователей список учетных записей User-defined list of accounts
- Администраторы Administrators
- Не определено Not Defined
Рекомендации Best practices
- Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.
- Как правило, назначать это право пользователю группам, кроме администраторов, не требуется. Generally, assigning this user right to groups other than Administrators is not necessary.
Location Location
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Значения по умолчанию Default values
По умолчанию этот параметр является администратором на контроллерах домена и на автономных серверах. By default this setting is Administrators on domain controllers and on stand-alone servers.
В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Администраторы Administrators |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Администраторы Administrators |
| Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings | Администраторы Administrators |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Администраторы Administrators |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Администраторы Administrators |
Управление политикой Policy management
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.
Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
Аудит доступа к объектам не выполняется, если их не включить с помощью редактора локальных групповых политик, консоли управления групповыми политиками (GPMC) или средства командной строки Auditpol. Audits for object access are not performed unless you enable them by using the Local Group Policy Editor, the Group Policy Management Console (GPMC), or the Auditpol command-line tool.
Дополнительные сведения о политике аудита доступа к объектам см. в этой теме. For more information about the Object Access audit policy, see Audit object access.
Групповая политика Group Policy
Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:
- Параметры локальной политики Local policy settings
- Параметры политики сайта Site policy settings
- Параметры политики домена Domain policy settings
- Параметры политики подразделения OU policy settings
Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Любой пользователь с правом на управление аудитом и журналом безопасности может очистить журнал безопасности, чтобы удалить важные признаки несанкционированной деятельности. Anyone with the Manage auditing and security log user right can clear the Security log to erase important evidence of unauthorized activity.
Противодействие Countermeasure
Убедитесь, что только у локальной группы администраторов есть право на управление аудитом и журналом безопасности. Ensure that only the local Administrators group has the Manage auditing and security log user right.
Возможное влияние Potential impact
Настройка по умолчанию ограничивает права пользователя журнала аудита и безопасности только локальной группой администраторов. Restricting the Manage auditing and security log user right to the local Administrators group is the default configuration.
Предупреждение: Если группе, кроме локальной группы администраторов, назначено это право пользователя, удаление этого права пользователя может привести к проблеме производительности в других приложениях. Warning: If groups other than the local Administrators group have been assigned this user right, removing this user right might cause performance issues with other applications. Перед удалением этого права из группы необходимо выяснить, зависят ли приложения от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.
Защитник Windows получил новый «Журнал защиты» в Windows 10 19H1
Microsoft утверждает, что Windows 10 является самой безопасной операционной системой, когда-либо выпускаемой компанией. Без сомнений, ключевым компонентом в арсенале безопасности Windows является именно антивирусная программа Защитник Windows.
Несмотря на то, что системное приложение безопасности уже получает хвалебные оценки исследователей и демонстрирует высокую эффективность защиты, которой могут похвастаться только треть решений в индустрии, Microsoft продолжает совершенствовать свой продукт, и в Windows 10 19H1 пользователи получат новые улучшения.
Безопасность Windows в Windows 10, версия 1903 (19H1)
Мы уже рассказывали вам о новой «Защите от подделки» в Windows 10 Build 18305 (19H1), которая позволит предотвратить несанкционированное изменение критически важных настроек безопасности операционной системы.
В дополнение к защите от подделки, Защитник Windows также получит новую функцию «Журнал защиты», который упростит анализ событий безопасности и даст четкое представление о действиях антивируса Microsoft в системе.
Редмонд отмечает, что при разработке обновленной функции принимались во внимание предложения и отзывы пользователей. Теперь данный журнал предоставит гораздо больше информации, чем просто список обнаруженных вредоносных программ. Пользователь сможет просматривать информацию о событиях срабатывания защиты «Контролируемый доступ к папкам», если вы используете данный компонент дополнительной защиты.
Также был серьезно переработан пользовательский интерфейс журнала. При его создании разработчики следовали более простому и последовательному подходу – теперь пользователи могут получить больше полезной информации о вредоносных программах, обнаруженных на вашем устройстве. Кроме того, в журнале защиты теперь будут показываться рекомендации по устранению вредоносных заражений и по общему улучшению уровня безопасности системы.
Microsoft подробно рассказала о новом журнале защиты:
Новая функция Журнал защиты по-прежнему будет показывать информацию об обнаружениях антивирусной программы Защитник Windows, но в более детализированной и простой для понимания форме вместе с доступными действиями. Также в журнал добавлены события функции «Контролируемый доступ к папкам», а также срабатывания правил снижения поверхности атаки (Attack Surface Reduction).
Если вы запускаете сканирования Автономного Защитника Windows, то все обнаружения данного инструмента также будут показаны в журнале. Также вы увидите полезные рекомендации в списке событий.
Получить доступ к новому журналу защиты очень просто. Запустите приложение «Безопасность Windows» из иконки системного трея или введя соответствующий запрос в меню Пуск. Затем перейдите по следующему пути:
Если в системе никогда не обнаруживались зловреды, то журнал будет полностью пустым. Если же Защитник Windows и его компоненты сталкивались с вредоносными программами, то увидите подробную информацию о статусе и дате и времени идентификации угрозы.
При выборе конкретной угрозы откроется блок с дополнительной информацией: название вредоносной программы, уровень опасности, статус и дата обнаружения, связанные объекты, название инфицированного файла, месторасположение зараженного файла и ссылка, если файл был загружен из Интернета.
Журнал защиты предполагает несколько видов фильтров для сегментации представляемых данных: рекомендации, файлы в карантине и удаленные файлы. Вы также сможете посмотреть только те объекты, которые были заблокированы функцией «Контролируемый доступ к папкам» и сгруппировать угрозы по уровню опасности.
Новая функция будет доступна для всех пользователей Windows 10 19H1, независимо от редакции системы. Релиз обновления запланирован на весну 2019 года. Как правило работа над весенними обновлениями функций заканчивается в марте, а публичное развертывание стартует в апреле.
В ближайшие месяцы Защитник Windows может получить дополнительные улучшения, но сейчас вы можете попробовать журнал защиты, установив сборку Windows 10 Insider Preview на канале «Ранний доступ».
Как посмотреть журнал событий в Windows 10?
С помощью журнала событий в Windows пользователь может ознакомиться с теми событиями, которые происходили в операционной системе, а это в том числе: ошибки, сбои, неполадки и т.д. Как открыть журнал событий в Windows 10? Ответ на указанный вопрос знают не все пользователи, поэтому мы подготовили эту простую инструкцию.
Окно «Выполнить»
Нужно запустить окно «Выполнить». Как это сделать? Например, можно навести курсор мыши на кнопку «Пуск», нажать ПКМ и выбрать в меню пункт «Выполнить».
Есть и другой путь — нажать Win+R на клавиатуре.
Когда окно будет запущено, укажите команду eventvwr.msc, после чего кликните по кнопке ОК.
Журнал событий был запущен.
Поиск по Windows
Нажмите на иконку поиска, что расположена на панели задач.
Укажите поисковый запрос просмотр событий, после чего появится одноименное приложение. Нажмите по нему левой клавишей мыши для запуска.
Панель управления
Нажмите Win+X на клавиатуре, будет открыто меню быстрого доступа.
В нем выберите строку «Панель управления».
Укажите «Крупные значки», а затем кликните по строке «Администрирование».
Осталось только выбрать пункт «Просмотр событий».
Командная строка
Можно открыть журнал событий и через командую строку.
Наводите курсор на кнопку «Пуск», нажимаете на правую клавишу мыши. Появляется меню, здесь нажимаете «Панель управления» (PowerShell на других версиях Windows).
Командная стока запущена, вам необходимо указать команду eventvwr и нажать Enter на клавиатуре.
Видим запущенный журнал событий.
Какой способ использовать, решать только вам.
Уважаемые пользователи! Если наш сайт вам помог или что-то в нем не понравилось, будем рады, если вы оставите комментарий. Заранее большое спасибо.
