Управление аудитом и журналом безопасности

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Управление аудитом и журналом безопасности.

Справка

Этот параметр политики определяет, какие пользователи могут задавать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Эти объекты определяют их системные списки управления доступом (SACL). Пользователь, которому назначено это право, может просматривать и очищать журнал безопасности в средстве просмотра событий. Подробнее о политике аудита доступа к объектам можно узнать в разделе Аудит доступа к объектам.

Константа: SeSecurityPrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Администраторы

  • Не определено

Рекомендации

  1. Прежде чем удалять это право для группы, проверьте, зависят какие-либо ли приложения от него.

  2. Обычно не требуется назначать это право группам, кроме группы "Администраторы".

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

Значение по умолчанию для этого параметра на контроллерах домена и автономных серверах — «Администраторы».

В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Администраторы

Параметры автономного сервера по умолчанию

Администраторы

Действующие параметры контроллера домена по умолчанию

Администраторы

Действующие параметры рядового сервера по умолчанию

Администраторы

Действующие параметры клиентского компьютера по умолчанию

Администраторы

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать компьютер не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Аудит доступа к объектам не выполняется, если его не включить с помощью редактора локальной групповой политики, консоли управления групповыми политиками (GPMC) или программы командной строки Auditpol.

Подробнее о политике аудита доступа к объектам можно узнать в разделе Аудит доступа к объектам.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Любой пользователь с правом Управление аудитом и журналом безопасности может очистить журнал безопасности, чтобы удалить важные свидетельства несанкционированных действий.

Меры противодействия

Убедитесь, что только у локальной группы "Администраторы" есть право Управление аудитом и журналом безопасности.

Возможные последствия

По умолчанию право Управление аудитом и журналом безопасности назначено только локальной группе "Администраторы".

Предупреждение  

Если его назначить другим группам, удаление этого права может привести к проблемам с производительностью других приложений. Прежде чем удалять это право для группы, проверьте, зависят какие-либо ли приложения от него.

 

Связанные разделы

Назначение прав пользователя

 

 

Показ: