Создание базовой политики аудита для категории событий

Задав параметры для определенных категорий пользователей, вы можете создать политику аудита, соответствующую требованиям к безопасности для вашей организации. На устройствах, присоединенных к домену, параметры аудита для категорий событий не заданы по умолчанию. На контроллерах доменов аудит включен по умолчанию.

Чтобы выполнить эту процедуру, вам потребуется войти от имени участника встроенной группы "Администраторы".

Установка или изменение параметров политики аудита для категории событий на локальном компьютере

1. Откройте оснастку "Локальная политика безопасности" (secpol.msc) и выберите Локальные политики.
2. Нажмите Политика аудита.
3. В области результатов дважды щелкните категорию событий, для которой требуется изменить параметры политики аудита.
4. Выполните одно или оба приведенных ниже действия, а затем нажмите кнопку ОК.
   • Для аудита успешных попыток установите флажок Успех.
   • Для аудита неудачных попыток установите флажок Отказ.

Чтобы выполнить эту процедуру, необходимо войти в систему от имени участника группы "Администраторы домена".

Установка или изменение параметров политики аудита для категории событий домена или подразделения, если вы работаете на входящем в подразделение сервере или рабочей станции, присоединенной к домену

1. Откройте консоль управления групповыми политиками (GPMC).
2. В дереве консоли перейдите в лес, а затем в домен и дважды щелкните узел Объекты групповой политики, содержащий объект Default Domain Policy, который требуется изменить.
3. Щелкните объект Default Domain Policy правой кнопкой мыши и выберите пункт Изменить.
4. В консоли управления групповыми политиками перейдите к разделу Конфигурация компьютера, Параметры Windows, Параметры безопасности и выберите пункт Политика аудита.
5. В области результатов дважды щелкните категорию событий, для которой требуется изменить параметры политики аудита.
6. Если вы впервые настраиваете параметры политики аудита, установите флажок Определить следующие параметры политики.
7. Выполните одно или оба приведенных ниже действия, а затем нажмите кнопку ОК.
   • Для аудита успешных попыток установите флажок Успех.
   • Для аудита неудачных попыток установите флажок Отказ.

Дополнительные рекомендации

• Для аудита доступа к объектам включите соответствующую категорию событий, выполнив указанные выше действия. Затем включите аудит для конкретного объекта.
• Когда политика аудита будет настроена, события будут записаны в журнал безопасности. Чтобы просмотреть эти события, откройте журнал безопасности.
• По умолчанию для политики аудита контроллеров домена задан параметр Нет аудита. Это означает, что даже если в домене включен аудит, контроллеры домена не наследуют политику аудита локально. Чтобы политика аудита домена применялась к контроллерам домена, необходимо изменить этот параметр политики.