Аудит расширения системы безопасности

В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит расширения системы безопасности, который определяет, создает ли операционная система события аудита, связанные с расширениями системы безопасности.

К изменениям расширений системы безопасности в операционной системе, относятся следующие действия.

  • Загружается код расширения безопасности (например, проверка подлинности, уведомление или пакет безопасности). Код расширения безопасности регистрируется в подсистеме LSA и будет использоваться как доверенный код для проверки подлинности попыток входа, отправки запросов входа, а также будет получать уведомления о любом изменении учетной записи или пароля. Примеры кода расширения — это поставщики поддержки безопасности, например, Kerberos и NTLM.

  • Служба установлена. Журнал аудита создается, когда служба регистрируется в диспетчере управления службами. Журнал аудита содержит сведения об имени службы, двоичном файле, типе, типе запуска и учетной записи службы.

Важно  

Попытка установить или загрузить расширения системы безопасности или службы — это важные системные события, которые могут обозначать брешь в системе безопасности.

 

Объем событий: низкий

Ожидается, что эти события будут чаще появляться на контроллере домена, чем на клиентских компьютерах и рядовых серверах.

По умолчанию: не настроено

Код событияСообщение о событии

4610

Пакет проверки подлинности загружен подсистемой LSA.

4611

Доверенный процесс входа зарегистрирован в подсистеме LSA.

4614

Пакет уведомлений был загружен SAM.

4622

Пакет безопасности был загружен подсистемой LSA.

4697

Служба была установлена в системе.

 

Связанные разделы

Параметры расширенной политики аудита безопасности

 

 

Показ: