Дополнительные параметры политики аудита безопасности

Опубликовано: Август 2016

Применимо к: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Ссылка для ИТ-специалистов сведения о Расширенный аудит параметры политики, доступных в операционных системах Windows и событий аудита, которые они создают.

Параметры политики аудита безопасности 53 под политики Безопасности\конфигурация аудита может помочь вашей организации аудита соответствия правилам важных бизнес данных и безопасности путем отслеживания строго определенных операций, таких как:

• Администратор группы изменил параметры или данные на серверах, содержащих финансовую информацию.

• Сотрудник, входящий в определенной группе доступ к важному файлу.

• Правильный системный список управления доступом (SACL) применяется к каждый файл и папку или раздел реестра на компьютере или в общей папке для проверяемых защиты от неконтролируемого доступа.

Эти параметры политики аудита доступны помощью локальной политики безопасности (secpol.msc) на локальном компьютере или с помощью групповой политики.

Эти параметры политики аудита, дополнительно позволяют выбрать только те действия, которые необходимо отслеживать. Можно исключить результаты аудита для поведения, не представляющие интереса для вас или поведения, создать слишком много записей журнала. Кроме того поскольку политик аудита безопасности можно применить с помощью объектов групповой политики домена, параметры политики аудита можно быть изменены, тестирования и развертывания для выбранных пользователей и групп с относительной простоты.

При настройке параметров политики аудита безопасности дополнительные события отображаются на компьютерах под управлением поддерживаемых версий операционных систем Windows, как определено в относится к списка в начале этого раздела, кроме Windows Server 2008 и Windows Vista.

Политики аудита в разделе Конфигурация политики аудита безопасности безопасности\конфигурация расширенной доступны в следующих категориях:

• Учетная запись входа в систему

  Настройка параметров политики в этой категории могут помочь документа пытается проверить подлинность учетной записи данных на контроллере домена или на локального диспетчера учетных записей (SAM). В отличие от параметров политики входа в систему и выхода из системы и событий, какие записи пытается получить доступ к определенному компьютеру, параметры и события этой категории сосредоточиться на, используемый базой данных учетных записей. В эту категорию входят следующие подкатегории:

  • Проверка учетных данных аудита

  • Служба проверки подлинности Kerberos аудита

  • Аудит операций билета службы Kerberos

  • Другие события входа и выхода аудита

• Управление учетными записями

  Параметры в этой категории можно использовать для отслеживания изменений для пользователей и учетных записей компьютеров и групп политики аудита безопасности. В эту категорию входят следующие подкатегории:

  • Управление группой приложений аудита

  • Аудит управления учетными записями компьютеров

  • Управление группой распространения аудита

  • Другие события управления учетной записи аудита

  • Управление группами безопасности аудита

  • Аудит управления учетными записями пользователей

• Подробное отслеживание

  Подробные параметры политики безопасности для отслеживания и аудита событий можно использовать для отслеживания действий пользователей на этом компьютере и отдельных приложений и сведения об использовании компьютера. В эту категорию входят следующие подкатегории:

  • Аудит активности DPAPI

  • Создание процесса аудита

  • Завершение процесса аудита

  • События аудита RPC

• Доступ к службе Каталогов

  Параметры политики аудита безопасности доменных служб Active Directory Access предоставляют подробный Аудит попыток доступа и изменения объектов в доменных службах Active Directory (AD DS). Эти аудита событий только на контроллерах домена. В эту категорию входят следующие подкатегории:

  • Аудит подробная репликация службы каталогов

  • Аудит доступа к службе каталогов

  • Изменения службы каталогов

  • Репликация службы каталогов аудита

• Вход и выход из системы

  Параметры политики безопасности входа в систему и выхода из системы и события аудита позволяют отслеживать попытки входа в систему в интерактивном режиме или по сети. Эти события особенно полезны для отслеживания действий пользователей и выявления потенциальных атак на сетевые ресурсы. В эту категорию входят следующие подкатегории:

  • Блокировка учетной записи аудита

  • Расширенный режим IPsec аудита

  • IPsec основного режима аудита

  • Режим аудита быстрое IPsec

  • Аудит выхода из системы

  • Аудит входа в систему

  • Сервер сетевых политик аудита

  • Другие события входа и выхода аудита

  • Специальный вход аудита

• Доступ к объекту

  Параметров политики доступа к объектам и аудит событий позволяют отслеживать попытки доступа к конкретных объектов или типов объектов в сети или компьютера. Аудит попыток доступа к файл, каталог, раздел реестра или любой другой объект, необходимо включить в соответствующей подкатегории аудита доступа к объектам для событий успеха или сбоя. Например подкатегории файловой системы должен быть включен аудит операций с файлами и подкатегории реестра необходимо включить аудит доступ к реестру.

  Что подтверждает, что эти политики аудита являются фактически для внешних аудиторов сложнее. Существует простой способ убедитесь, что выбрано правильное SACL на всех унаследованных объектов. Чтобы устранить эту проблему, см. раздел No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'..

  В эту категорию входят следующие подкатегории:

  • Приложение, созданное аудита

  • Службы сертификации аудита

  • Общий ресурс подробный файл аудита

  • Общая папка аудита

  • Аудит файловой системы

  • Подключение платформы фильтрации аудита

  • Отбрасывание пакета платформой фильтрации аудита

  • Манипуляции дескриптор аудита

  • Объект ядра аудита

  • Другие события доступа к объектам аудита

  • Реестр аудита

  • Аудит диспетчера учетных записей безопасности

• Изменение политики

  События аудита изменения политики позволяют отслеживать изменения политики безопасности на локальном компьютере или в сети. Поскольку политики обычно задаются администраторами безопасные сетевые ресурсы, отслеживание изменений, или попытки изменить эти политики может быть важным аспектом управления безопасности сети. В эту категорию входят следующие подкатегории:

  • Аудит изменения политики аудита

  • Аудит изменения политики проверки подлинности

  • Аудит изменений политики авторизации

  • Изменение политики платформы фильтрации аудита

  • Аудит изменения политики на уровне правил MPSSVC

  • Другие события изменения политики аудита

• Использование прав

  Для пользователей или компьютеров, для выполнения определенных задач предоставляются разрешения в сети. Привилегия использовать параметры политики безопасности и аудита событий позволяют отслеживать использование определенные разрешения на одной или нескольких систем. В эту категорию входят следующие подкатегории:

  • Аудит использования привилегий неконфиденциальные

  • Аудит использования привилегий конфиденциальные

  • Другие аудит использования привилегий

• System (система)

  Параметры политики безопасности системы и события аудита позволяют отслеживать изменения на уровне системы на компьютере, которые не входят в других категориях и на которых потенциальные последствия для безопасности. В эту категорию входят следующие подкатегории:

  • Драйвер IPsec аудита

  • Другие системные события аудита

  • Изменение состояния подсистемы аудита безопасности

  • Расширение системы безопасности аудита

  • Целостность системы аудита

• Доступа к глобальным объектам

  Глобальные параметры политики аудита доступа к объектам позволяют администраторам определять компьютер системы списки управления доступом (SACL) для каждого типа объекта для файловой системы или реестра. Указанный системный список управления ДОСТУПОМ автоматически применяется ко всем объектам данного типа.

  Аудиторы будет доказать, что каждый ресурс в системе защищен с помощью политики аудита Просмотр содержимого глобального аудита доступа к объектам параметров политики. Например если аудиторы см. в политике «Отслеживать все изменения, внесенные в группу администраторов» они знают, что эта политика действует.

  SACL ресурсов также полезны для диагностики. Например Установка глобального аудита доступа к объектам политики в журнал всех действий для конкретного пользователя и включение политики для отслеживания событий «Доступ запрещен» для файловой системы или реестра может помочь администраторам быстро определить, какой объект в системе запрет на доступ пользователя.

  Примечание

  Если файл или папку SACL и политика глобального аудита доступа к объектам (или одного параметра системного списка управления ДОСТУПОМ и политика глобального аудита доступа к объектам реестра) настроены на компьютере, действующий системный создается из файла или папки системного списка управления ДОСТУПОМ и политика глобального аудита доступа к объектам. Это означает, что событие аудита создается, если действие соответствует файл или папка системного списка управления ДОСТУПОМ и политика глобального аудита доступа к объектам.

  В эту категорию входят следующие подкатегории:

  • Файловая система (доступа к глобальным объектам аудит)

  • Реестр (доступа к глобальным объектам аудит)