Аудит SAM
В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит SAM, который позволяет отслеживать события аудита, создаваемые при попытке получить доступ к объектам SAM.
Диспетчер учетных записей безопасности (Security Accounts Manager, SAM) — это база данных, присутствующая на компьютерах с ОС Windows. Она содержит учетные записи пользователей и дескрипторы безопасности для пользователей на локальном компьютере.
Далее представлен список объектов SAM.
SAM_ALIAS: локальная группа
SAM_GROUP: группа, которая не является локальной группой
SAM_USER: учетная запись пользователя
SAM_DOMAIN: домен
SAM_SERVER: учетная запись компьютера
Если вы настроили этот параметр политики, аудита событие создается при доступе к объекту SAM. События аудита успехов и отказов регистрируются в соответствующих записях.
Примечание
Изменить можно только параметр SAM_SERVER SACL.
Изменения в объектах пользователей и групп отслеживаются категорией аудита «Управление учетными записями». Однако учетные записи пользователей с соответствующими правами пользователя могут изменять файлы в обход всех событий категории «Управление учетными записями», если учетная запись и пароль хранятся в системе.
Объем событий: высокий на контроллерах домена.
Примечание
Сведения о сокращении количества событий, создаваемых этой подкатегорией, см. в статье базы знаний KB841001.
По умолчанию: не настроено
| Код события | Сообщение о событии |
|---|---|
4659 |
Запрошен дескриптор объекта с целью удаления. |
4660 |
Объект был удален. |
4661 |
Запрошен дескриптор объекта. |
4663 |
Выполнена попытка получения доступа к объекту. |