Аудит расширения системы безопасности
В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит расширения системы безопасности, который определяет, создает ли операционная система события аудита, связанные с расширениями системы безопасности.
К изменениям расширений системы безопасности в операционной системе, относятся следующие действия.
Загружается код расширения безопасности (например, проверка подлинности, уведомление или пакет безопасности). Код расширения безопасности регистрируется в подсистеме LSA и будет использоваться как доверенный код для проверки подлинности попыток входа, отправки запросов входа, а также будет получать уведомления о любом изменении учетной записи или пароля. Примеры кода расширения — это поставщики поддержки безопасности, например, Kerberos и NTLM.
Служба установлена. Журнал аудита создается, когда служба регистрируется в диспетчере управления службами. Журнал аудита содержит сведения об имени службы, двоичном файле, типе, типе запуска и учетной записи службы.
Важно
Попытка установить или загрузить расширения системы безопасности или службы — это важные системные события, которые могут обозначать брешь в системе безопасности.
Объем событий: низкий
Ожидается, что эти события будут чаще появляться на контроллере домена, чем на клиентских компьютерах и рядовых серверах.
По умолчанию: не настроено
Код события | Сообщение о событии |
---|---|
4610 |
Пакет проверки подлинности загружен подсистемой LSA. |
4611 |
Доверенный процесс входа зарегистрирован в подсистеме LSA. |
4614 |
Пакет уведомлений был загружен SAM. |
4622 |
Пакет безопасности был загружен подсистемой LSA. |
4697 |
Служба была установлена в системе. |