Аудит SAM

В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит SAM, который позволяет отслеживать события аудита, создаваемые при попытке получить доступ к объектам SAM.

Диспетчер учетных записей безопасности (Security Accounts Manager, SAM) — это база данных, присутствующая на компьютерах с ОС Windows. Она содержит учетные записи пользователей и дескрипторы безопасности для пользователей на локальном компьютере.

Далее представлен список объектов SAM.

  • SAM_ALIAS: локальная группа

  • SAM_GROUP: группа, которая не является локальной группой

  • SAM_USER: учетная запись пользователя

  • SAM_DOMAIN: домен

  • SAM_SERVER: учетная запись компьютера

Если вы настроили этот параметр политики, аудита событие создается при доступе к объекту SAM. События аудита успехов и отказов регистрируются в соответствующих записях.

Примечание  

Изменить можно только параметр SAM_SERVER SACL.

 

Изменения в объектах пользователей и групп отслеживаются категорией аудита «Управление учетными записями». Однако учетные записи пользователей с соответствующими правами пользователя могут изменять файлы в обход всех событий категории «Управление учетными записями», если учетная запись и пароль хранятся в системе.

Объем событий: высокий на контроллерах домена.

Примечание  

Сведения о сокращении количества событий, создаваемых этой подкатегорией, см. в статье базы знаний KB841001.

 

По умолчанию: не настроено

Код событияСообщение о событии

4659

Запрошен дескриптор объекта с целью удаления.

4660

Объект был удален.

4661

Запрошен дескриптор объекта.

4663

Выполнена попытка получения доступа к объекту.

 

Связанные разделы

Параметры расширенной политики аудита безопасности

 

 

Показ: