Создание аудитов безопасности

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Создание аудитов безопасности.

Справка

Этот параметр политики определяет, какие учетные записи может использовать процесс для создания записей аудита в журнале событий безопасности. События в этот журнал записывает служба LSASS. Журнал событий безопасности можно использовать для трассировки несанкционированного доступа к устройству.

Константа: SeAuditPrivilege.

Возможные значения

  • Пользовательский список учетных записей

  • Локальная служба

  • Сетевая служба

Рекомендации

  • Так как журнал аудита может быть подвержен атаке, если учетная запись взломана, убедитесь, что право пользователя Создание аудитов безопасности назначено только для учетных записей "Локальная служба" и "Сетевая служба".

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

По умолчанию этому параметру на контроллерах домена и изолированных серверах присвоены значения "Локальная служба" и "Сетевая служба".

В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Локальная служба

Сетевая служба

Параметры автономного сервера по умолчанию

Локальная служба

Сетевая служба

Действующие параметры контроллера домена по умолчанию

Локальная служба

Сетевая служба

Действующие параметры рядового сервера по умолчанию

Локальная служба

Сетевая служба

Действующие параметры клиентского компьютера по умолчанию

Локальная служба

Сетевая служба

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Неправильное использование этого права пользователя может привести к созданию множества событий аудита, скрывающих свидетельства атаки или вызывающих отказ в обслуживании, если включен параметр безопасности Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Злоумышленник может использовать учетные записи, имеющие право записи в журнал безопасности, чтобы заполнить его бессмысленными событиями. Если компьютер настроен на перезапись событий по мере необходимости, злоумышленники могут воспользоваться этим, чтобы удалить сведения о своих несанкционированных действиях. Если компьютер настроен на завершение работы в случае невозможности записи в журнал безопасности и не настроен на автоматическое резервное копирование файлов журнала, этот метод может использоваться для создания условий атаки типа "отказ в обслуживании".

Меры противодействия

Убедитесь, что право пользователя Создание аудитов безопасности назначено только для учетных записей "Локальная служба" и "Сетевая служба".

Возможные последствия

Нет. Конфигурация по умолчанию предусматривает назначение права пользователя Создание аудитов безопасности только для учетных записей "Локальная служба" и "Сетевая служба".

Связанные разделы

Назначение прав пользователя

 

 

Показ: