Вопросы и ответы по расширенному аудиту безопасности
В этом разделе для ИТ-специалистов приведены вопросы и ответы, необходимые для понимания и развертывания политик аудита безопасности, а также управления этими политиками.
Что такое аудит безопасности Windows, и почему мне его следует использовать?
В чем разница между политиками аудита, расположенными в разделе «Локальные политики\политика аудита», и политиками, расположенными в конфигурации расширенной политики аудита?
В чем заключается взаимодействие между параметрами базовой политики аудита и параметрами расширенной политики аудита?
Как параметры аудита объединяются групповой политикой?
В чем разница между объектом DACL и объектом SACL?
Почему политики аудита применяются к каждому компьютеру, а не к каждому пользователю?
В чем различия функциональных возможностей аудита в разных версиях Windows?
Можно ли использовать расширенную политику аудита с контроллера домена под управлением Windows Server 2003 или Windows 2000 Server?
В чем различия между событиями успеха и отказа? Что-то не так, если результатом аудита является отказ?
Как настроить политику аудита, которая влияет на все объекты на компьютере?
Как определить, почему тот или иной пользователь получил доступ к ресурсу?
Как узнать, когда были внесены изменения в параметры управления доступом, кто их внес и что они собой представляли?
Как можно откатить политики аудита безопасности с расширенной политики аудита обратно на базовую?
Как можно отследить, были ли внесены изменения в параметры политики аудита?
Как свести к минимуму количество создаваемых событий?
Какие средства являются оптимальными для моделирования политики аудита и управления этой политикой?
Где найти сведения обо всех возможных событиях, которые могут возникнуть?
Где найти более подробные сведения?
Что такое аудит безопасности Windows, и почему мне его следует использовать?
Аудит безопасности — это систематическое изучение и оценка действий, которые могут повлиять на безопасность системы. В операционных системах Windows аудит безопасности более узко определяется как функциональные возможности и службы, которые позволяют администратору регистрировать и просматривать события для определенных действий, связанных с безопасностью.
В операционной системе Windows и приложениях, работающих в этой операционной системе, возникают сотни событий. Контроль этих событий может предоставить ценные сведения, которые помогут администраторам устранять неполадки и изучать действия, связанные с безопасностью.
В чем разница между политиками аудита, расположенными в разделе «Локальные политики\политика аудита», и политиками, расположенными в конфигурации расширенной политики аудита?
Параметры базовой политики аудита безопасности в разделе Параметры безопасности\Локальные политики\Политика аудита и параметры расширенной политики аудита безопасности в разделе Параметры безопасности\Конфигурация расширенной политики аудита\Политики аудита системы кажутся перекрывающимися, однако они записываются и применяются по-разному. При применении параметров базовой политики аудита на локальном компьютере с помощью оснастки локальной политики безопасности (secpol.msc) вы изменяете эффективную политику аудита, поэтому изменения, внесенные в параметры базовой политики аудита, отображаются точно так же, как они настроены в Auditpol.exe.
Есть ряд дополнительных различий между параметрами политики аудита безопасности в этих двух местах.
Существуют девять параметров базовой политики аудита в разделах Параметры безопасности\Локальные политики\Политика аудита и Конфигурация расширенной политики аудита. Параметры, доступные в разделе Параметры безопасности\Конфигурация расширенной политики аудита, решают те же задачи, что и девять базовых параметров в разделе Локальные политики\Политика аудита, однако они позволяют администраторам выбирать количество и типы событий для аудита. Например, базовая политика аудита предоставляет один параметр входа в учетную запись, а расширенная политика аудита — четыре. Включение этого одного базового параметра входа в учетную запись эквивалентно установке всех четырех расширенных параметров входа в учетную запись. Для сравнения, установка одного параметра расширенной политики аудита не создает событий аудита для тех действий, которые вам не нужно отслеживать.
Кроме того, если вы включите аудит успехов для базового параметра Аудит событий входа в систему, будут регистрироваться только успешные события для всех попыток входа в учетную запись. Для сравнения, в зависимости от потребностей вашей организации вы можете настроить аудит успехов для первого расширенного параметра входа в учетную запись, аудит отказов для второго расширенного параметра входа в учетную запись и аудит успехов и отказов для третьего расширенного параметра входа в учетную запись или же вообще отключить аудит.
Девять базовых параметров раздела Параметры безопасности\Локальные политики\Политика аудита были представлены в Windows 2000. Поэтому они доступны во всех версиях Windows, выпущенных с тех пор. Параметры расширенной политики аудита были представлены в Windows Vista и Windows Server 2008. Расширенные параметры могут использоваться только на компьютерах под управлением Windows 7, Windows Server 2008 и выше.
В чем заключается взаимодействие между параметрами базовой политики аудита и параметрами расширенной политики аудита?
Параметры базовой политики аудита несовместимы с параметрами расширенной политики аудита, которые применяются с помощью групповой политики. При применении параметров расширенной политики аудита с использованием групповой политики текущие параметры политики аудита компьютера сбрасываются до применения результирующих параметров расширенной политики аудита. После применения параметров расширенной политики аудита с помощью групповой политики надежно определить политику аудита системы для компьютера можно только с помощью параметров расширенной политики аудита.
Изменение и применение параметров расширенной политики аудита в локальной политике безопасности меняет локальный объект групповой политики (GPO), поэтому внесенные здесь изменения могут не отражаться полностью в Auditpol.exe при наличии политик из других GPO домена или сценариев входа. Оба типа политики могут быть изменены и применены с помощью объектов групповой политики домена, и эти параметры переопределяют все конфликтующие параметры локальной политики аудита. Однако поскольку базовая политика аудита регистрируется в эффективной политике аудита, эта политика аудита должна быть явным образом удалена, если возникли потребности в изменениях, иначе она останется в эффективной политике аудита. Изменения политики, которые применяются с помощью параметров локальной или доменной групповой политики, отражаются, как только применяется новая политика.
Важно
Вне зависимости от того, применяете ли вы расширенные политики аудита с помощью групповой политики или сценариев входа, не используйте одновременно параметры базовой политики аудита в разделе Локальные политики\Политика аудита и расширенные параметры в разделе Параметры безопасности\Конфигурация расширенной политики аудита. Одновременное использование параметров расширенной и базовой политики аудита может привести к непредсказуемым результатам в отчетности по аудиту.
Если вы используете параметры конфигурации расширенной политики аудита или сценарии входа для применения расширенных политик аудита, следует включить параметр политики Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии в разделе Локальные политики\Параметры безопасности. Это позволит избежать конфликтов между аналогичными параметрами благодаря принудительному игнорированию базового аудита безопасности.
Как параметры аудита объединяются групповой политикой?
По умолчанию параметры политики, заданные в объектах групповой политики (GPO), привязаны к сайтам, доменам и подразделениям Active Directory более высокого уровня и наследуются всеми подразделениями (OU) на более низких уровнях. Однако политика наследования может быть переопределена объектом групповой политики, который привязан к более низкому уровню.
Например, вы хотите использовать объект групповой политики домена (GPO) для назначения группы параметров аудита всей организации, но при этом назначить группу дополнительных параметров одному из подразделений. Для этого можно связать второй GPO с этим подразделением более низкого уровня. В этом случае параметр аудита входа, заданный на уровне подразделения, переопределит конфликтующий параметр аудита входа, заданный на уровне домена (если вы не выполнили специальные шаги для применения обработки замыкания групповой политики).
Правила, которые управляют тем, как применяются параметры групповой политики, распространяются на уровень подкатегорий параметров политики аудита. Это означает, что параметры политики аудита, настроенные в других объектах групповой политики (GPO), будут объединены, если никакие параметры политики не настроены на более низком уровне. В следующей таблице иллюстрируется это поведение.
| Подкатегория аудита | Параметр, настроенный в объекте групповой политики подразделения (более высокий приоритет) | Параметр, настроенный в объекте групповой политики домена (более низкий приоритет) | Результирующая политика для целевого компьютера |
|---|---|---|---|
Подробный аудит общего файлового ресурса |
Успех |
Отказ |
Успех |
Аудит создания процесса |
Отключено |
Успех |
Отключено |
Аудит входа |
Успех |
Отказ |
Отказ |
В чем разница между объектом DACL и объектом SACL?
Все объекты в доменных службах Active Directory (AD DS) и все защищаемые объекты на локальном компьютере или в сети имеют дескрипторы безопасности, с помощью которых можно управлять доступом к объектам. Дескрипторы безопасности включают сведения о том, кто владеет объектом, кто имеет к нему доступ и какого рода, а также какие типы доступа подлежат аудиту. Дескрипторы безопасности содержат список управления доступом (ACL) объекта, который включает все разрешения безопасности, применимые к этому объекту. Дескриптор безопасности объекта может содержать два типа списков управления доступом:
список управления доступом на уровне пользователей (DACL), определяющий пользователей и группы, которым предоставляется или не предоставляется доступ;
системный список управления доступом (SACL), который управляет аудитом доступа.
Модель управления доступом, которая используется в Windows, администрируется на уровне объекта путем определения различных уровней доступа, или разрешений, для объектов. Если разрешения для объекта настроены, его дескриптор безопасности содержит DACL с идентификаторами безопасности (SID) для пользователей и групп, которым доступ разрешен или запрещен.
Если аудит для объекта настроен, дескриптор безопасности этого объекта также содержит SACL, который управляет тем, как подсистема безопасности выполняет аудит попыток доступа к объекту. Однако аудит настроен полностью, только если задан SACL для объекта и настроен и применен соответствующий параметр политики аудита Доступ к объектам.
Почему политики аудита применяются к каждому компьютеру, а не к каждому пользователю?
При аудите безопасности в Windows компьютер, объекты на компьютере и связанные ресурсы являются основными объектами действий клиентов, в число которых входят приложения, другие компьютеры и пользователи. При нарушении безопасности злоумышленники могут использовать другие учетные записи для сокрытия своей идентичности или вредоносные приложения могут выдавать себя за авторизованных пользователей для выполнения нежелательных задач. Поэтому самым последовательным способом применения политики аудита является акцентирование внимания на компьютере и его объектах и ресурсах.
Кроме того, так как возможности политики аудита могут различаться между компьютерами, работающими под управлением разных версий Windows, наилучший способ обеспечить правильность применения политики аудита — это применять параметры к компьютеру, а не к пользователю.
Однако в случаях, когда параметры аудита необходимо применять только к определенным группам пользователей, можно настроить списки SACL для соответствующих объектов, чтобы включить аудит для группы безопасности, содержащей только указанных пользователей. Например, можно задать список SACL для папки «Данные по зарплате» на сервере бухучета 1. Таким образом можно будет отслеживать попытки пользователей из подразделения «Расчет заработной платы» удалить объекты из этой папки. Параметр политики аудита Доступ к объектам\Аудит файловой системы применяется к серверу бухучета 1, но поскольку он требует соответствующего ресурса SACL, события аудита будут генерироваться только при выполнении членами подразделения «Расчет заработной платы» действий с папкой «Данные по зарплате».
В чем различия функциональных возможностей аудита в разных версиях Windows?
Параметры базовой политики аудита доступны во всех версиях Windows, начиная с Windows 2000. Они могут применяться локально или с помощью групповой политики. Параметры расширенной политики аудита были представлены в Windows Vista и Windows Server 2008, однако данные параметры могут быть применены в этих версиях только с помощью сценариев входа. Параметры расширенной политики аудита, которые были представлены в Windows 7 и Windows Server 2008 R2, могут быть настроены и применены с использованием параметров локальной и доменной групповой политики.
Можно ли использовать расширенные политики аудита с контроллера домена под управлением Windows Server 2003 или Windows 2000 Server?
Чтобы использовать параметры расширенной политики аудита, ваш контроллер домена должен быть установлен на компьютере под управлением Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003 с пакетом обновления 2 (SP2). Windows 2000 Server не поддерживается.
В чем различия между событиями успеха и отказа? Что-то не так, если результатом аудита является отказ?
Событие аудита успехов регистрируется, если определенное действие, например доступ к общему файловому ресурсу, завершается успешно.
Событие аудита отказов регистрируется, если определенное действие, например вход пользователя, не завершается успешно.
Появление событий аудита отказов в журнале событий необязательно свидетельствует о наличии неполадок в системе. Например, если настроить события аудита входа, событие отказа может просто означать, что пользователь неправильно набрал свой пароль.
Как настроить политику аудита, которая влияет на все объекты на компьютере?
Системные администраторы и аудиторы все чаще хотят проверять применение политики ко всем объектам в системе. Этого трудно достичь, так как системные списки управления доступом (SACL), управляющие аудитом, применяются пообъектно. Поэтому для проверки правильности применения политики аудита ко всем объектам необходимо проверить каждый объект, чтобы убедиться в том, что никакие изменения не внесены, даже временные изменения всего одного списка SACL.
В Windows Server 2008 R2 и Windows 7 появился аудит безопасности, который позволяет администраторам определять политики аудита доступа к глобальным объектам для всей файловой системы или для реестра на компьютере. Указанный список SACL затем автоматически применяется к каждому объекту данного типа. Это может оказаться полезным для проверки защищенности всех критически важных файлов, папок и параметров реестра на компьютере, а также для определения возникновения проблемы с системным ресурсом. Если на компьютере настроены список SACL файла или папки и политика аудита доступа к глобальным объектам (или отдельный список SACL параметров реестра и политика аудита доступа к глобальным объектам), эффективный список SACL образуется за счет сочетания SACL файла или папки и политики аудита доступа к глобальным объектам. Это значит, что событие аудита создается, если действие соответствует либо SACL файла или папки, либо политике аудита доступа к глобальным объектам.
Как определить, почему тот или иной пользователь получил доступ к ресурсу?
Часто недостаточно знать, что к объекту, например файлу или папке, был получен доступ. Может понадобиться понять, почему пользовать смог получить доступ к этому ресурсу. Эти судебные данные можно получить, настроив параметр Аудит работы с дескрипторами вместе с параметром Аудит файловой системы или Аудит реестра.
Как узнать, когда были внесены изменения в параметры управления доступом, кто их внес и что они собой представляли?
Чтобы отслеживать изменения управления доступом на компьютерах под управлением Windows Server 2016 Technical Preview, Windows Server 2012 R2, Windows Server 2012, Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, необходимо включить следующие параметры для отслеживания изменений в DACL:
Подкатегория Аудит файловой системы: включите для регистрации успехов, отказов или успехов и отказов.
Параметр Аудит изменения политики авторизации: включите для регистрации успехов, отказов или успехов и отказов.
Список SACL с разрешениями Запись и Смена владельца: примените к объекту, который нужно отслеживать.
В Windows XP и Windows Server 2003 необходимо использовать подкатегорию Аудит изменения политики.
Как можно откатить политики аудита безопасности с расширенной политики аудита обратно на базовую?
Применение параметров расширенной политики аудита заменяет любые соответствующие параметры базовой политики аудита безопасности. Если вы впоследствии измените параметр расширенной политики аудита на Не настроено, необходимо выполнить следующие действия, чтобы восстановить исходные параметры базовой политики аудита безопасности:
Определите все подкатегории расширенной политики аудита как Не настроено.
Удалите все файлы audit.csv из папки %SYSVOL% на контроллере домена.
Перенастройте и примените параметры базовой политики аудита.
Если вы не выполнили все эти действия, параметры базовой политики аудита не будут восстановлены.
Как можно отследить, были ли внесены изменения в параметры политики аудита?
Изменения политик аудита безопасности являются критически важными событиями безопасности. Вы можете использовать параметр Аудит изменения политики аудита, чтобы определить, создает ли операционная система события аудита при возникновении следующих типов действий:
изменение разрешений и параметров аудита для объекта политики аудита;
изменение политики аудита системы;
регистрация или отмена регистрации источников событий безопасности;
изменение параметров аудита для отдельных пользователей;
изменение значения CrashOnAuditFail;
изменение параметров аудита файла или раздела реестра;
изменение списка специальных групп.
Как свести к минимуму количество создаваемых событий?
Поиск надлежащего равновесия между аудитом достаточного объема действий в сети и на компьютере и аудитом слишком небольшого количества действий в сети и на компьютере может стать трудной задачей. Этого равновесия можно достичь, определив самые важные ресурсы, критически важные действия, а также пользователей или группы пользователей. Затем следует разработать политику аудита безопасности, которая направлена на эти ресурсы, действия и пользователей. Полезные правила и рекомендации по разработке эффективной стратегии аудита безопасности можно найти в разделе Планирование и развертывание расширенных политик аудита безопасности.
Какие средства являются оптимальными для моделирования политик аудита и управления этими политиками?
Интеграция параметров расширенной политики аудита в групповую политику домена, представленная в Windows 7 и Windows Server 2008 R2, предназначена для упрощения управления и реализации политик аудита безопасности в сети организации. Как таковые, средства, используемые для планирования и развертывания объектов групповой политики домена, также могут использоваться для планирования и развертывания политик аудита безопасности.
На отдельном компьютере можно использовать средство командной строки Auditpol для выполнения ряда важных задач управления, связанных с политикой аудита.
Кроме того, есть ряд продуктов по управлению компьютером, например службы ACS в продуктах Microsoft System Center Operations Manager, которые можно использовать для сбора и фильтрации данных событий.
Где найти сведения обо всех возможных событиях, которые могут возникнуть?
Пользователи, которые впервые изучают журнал событий безопасности, могут быть обескуражены количеством сохраняемых в нем событий аудита (которые могут возникать тысячами), а также структурированной информацией, которая представлена для каждого события аудита. Дополнительные сведения об этих событиях, а также параметры, используемые для их создания, можно получить на следующих ресурсах:
Сведения о событиях безопасности Windows 8 и Windows Server 2012
События аудита безопасности для Windows 7 и Windows Server 2008 R2
События аудита безопасности для Windows Server 2008 и Windows Vista
Где найти более подробные сведения?
Подробные сведения о политиках аудита безопасности см. на следующих ресурсах: