Аудит целостности системы

В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит целостности системы, который определяет, осуществляет ли операционная система проверку событий, которые нарушают целостность подсистемы безопасности.

Следующие действия нарушают целостность подсистемы безопасности.

  • Отслеживаемые события потеряны из-за сбоя системы аудита.

  • Процесс использует недопустимый порт локального вызова процедур (LPC) при попытке олицетворить клиента, ответить на адресное пространство клиента, прочитать адресное пространство клиента или записать данные из адресного пространства клиента.

  • Обнаружено нарушение целостности удаленного вызова процедур (RPC).

  • Обнаружено нарушение целостности кода с недопустимым значением хэша исполняемого файла.

  • Выполняются криптографические задачи.

Важно  

Нарушение целостности подсистемы безопасности — это критические события, которые могут обозначать возможную атаку на систему безопасности.

 

Объем событий: низкий

По умолчанию: успех и отказ

Код событияСообщение о событии

4612

Внутренние ресурсы, выделенные для организации очереди сообщений аудита, закончились, что ведет к потере некоторых данных аудита.

4615

Неправильное использование порта LPC.

4618

Обнаружен отслеживаемый шаблон событий безопасности.

4816

Служба RPC обнаружила нарушение целостности при расшифровке входящего сообщения.

5038

Средство проверки целостности кода обнаружило, что хэш образа файла недопустим. Файл может быть поврежден из-за несанкционированного изменения или же недопустимый хэш может обозначать возможную ошибку дискового устройства.

5056

Выполнен самостоятельный криптографический тест.

5057

Ошибка примитивной криптографической операции.

5060

Ошибка операции проверки.

5061

Криптографическая операция.

5062

Выполнен самостоятельный криптографический тест в режиме ядра.

6281

Средство проверки целостности кода обнаружило, что страница хэш файла образа недопустима. Файл мог быть неправильно подписан без хэшей страницы или поврежден из-за несанкционированного изменения. Недопустимый хэш может обозначать возможную ошибку дискового устройства.

 

Связанные разделы

Параметры расширенной политики аудита безопасности

 

 

Показ: