Аудит: аудит доступа глобальных системных объектов
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Аудит: аудит доступа глобальных системных объектов.
Справочные материалы
Если этот параметр политики включен, в процессе создания устройством системных объектов, таких как мьютексы, события, семафоры и устройства MS-DOS®, применяется системный список управления доступом (SACL) по умолчанию. Если также включить параметр аудита Аудит доступа к объектам, будет выполняться аудит доступа к этим системным объектам.
Глобальные системные объекты, известные также как "базовые системные объекты" или "базовые именованные объекты", являются временными объектами ядра с именами, назначенными им компонентом приложения или системы, который создал эти объекты. Эти объекты чаще всего используются для синхронизации нескольких приложений или нескольких частей сложного приложения. Поскольку эти объекты имеют имена, они являются глобальными в области и, следовательно, видны всем процессам на устройстве. У всех этих объектов есть дескриптор безопасности, но, как правило, отсутствует список SACL NULL. Если этот параметр политики включен, он вступит в силу при запуске и ядро назначит список SACL этим объектам при их создании.
Угроза заключается в том, что глобально видимый именованный объект с ненадлежащим уровнем защиты может использоваться вредоносной программой, которой известно имя объекта. Например, если объект синхронизации, такой как мьютекс, имеет неправильно сформированный список управления доступом на уровне пользователей (DACL), вредоносная программа может получить доступ к этому мьютексу по имени и нарушить работу программы, создавшей мьютекс. Однако риск возникновения такой ситуации очень невысок.
Включение этого параметра политики может привести к созданию большого количество событий безопасности, особенно на нагруженных контроллерах домена и серверах приложений. Это может стать причиной увеличения времени отклика серверов и записи в журналы безопасности огромного количества малозначимых событий. Аудит доступа к глобальным системным объектам является процессом, не допускающим отступлений. Возможность фильтрации нужных и ненужных записываемых событий отсутствует. Даже если организация обладает ресурсами для анализа событий, созданных при включенном параметре политики, маловероятно получить исходный код или описание назначения каждого именованного объекта. Поэтому многие организации вряд ли смогут оказаться в выигрыше от включения этого параметра политики.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- Используйте параметр расширенной политики аудита безопасности Аудит объектов ядра, расположенный в разделе "Параметры расширенной политики аудита безопасности\Доступ к объектам", чтобы уменьшить число создаваемых несвязанных событий аудита.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Прежде чем эта политика вступит в силу после локального сохранения внесенных в нее изменений или распространения этих изменений через групповую политику, необходимо перезагрузить компьютер.
Групповая политика
Все функции аудита встроены в групповую политику. Вы можете настраивать, развертывать и контролировать эти параметры в консоли управления групповыми политиками (GPMC) или в оснастке "Локальная политика безопасности" для домена, сайта или подразделения.
Аудит
Для аудита попыток доступа к глобальным системным объектам можно использовать один из двух параметров политики аудита безопасности.
Аудит объектов ядра в разделе "Параметры расширенной политики аудита безопасности\Доступ к объектам".
Аудит доступа к объектам в разделе "Параметры безопасности\Локальные политики\Политика аудита".
Если возможно, используйте параметр расширенной политики аудита для сокращения количества создаваемых несвязанных событий аудита.
Если настроен параметр Аудит объектов ядра, создаются следующие события.
| Код события | Сообщение события |
|---|---|
4659 |
Запрошен дескриптор объекта с целью удаления. |
4660 |
Объект был удален. |
4661 |
Запрошен дескриптор объекта. |
4663 |
Выполнена попытка получения доступа к объекту. |
Если настроен параметр Аудит объектов ядра, создаются следующие события.
| Код события | Сообщение события |
|---|---|
560 |
Был предоставлен доступ к уже существующему объекту. |
562 |
Дескриптор объекта был закрыт. |
563 |
Предпринята попытка открыть объект с целью его удаления. ПримечаниеИспользуется файловыми системами, если флаг FILE_DELETE_ON_CLOSE определен в Createfile(). |
564 |
Защищенный объект был удален. |
565 |
Был предоставлен доступ к уже существующему типу объекта. |
567 |
Использовалось разрешение, связанное с дескриптором. ПримечаниеДескриптор создан с определенными предоставленными разрешениями ("Чтение", "Запись" и т. д). При использовании дескриптора для каждого использовавшегося разрешения создается не более одной записи аудита. |
569 |
Диспетчер ресурсов в диспетчере авторизации предпринял попытку создания контекста клиента. |
570 |
Клиент предпринял попытку получить доступ к объекту. ПримечаниеДля каждой попытки выполнить операцию с объектом будет создано событие. |
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Глобально видимый именованный объект с ненадлежащим уровнем защиты может использоваться вредоносной программой, которой известно имя объекта. Например, если объект синхронизации, такой как мьютекс, имеет неправильно выбранный список управления доступом на уровне пользователей (DACL), вредоносная программа может получить доступ к этому мьютексу по имени и нарушить работу программы, создавшей мьютекс. Однако риск возникновения такой ситуации очень невысок.
Меры противодействия
Включите параметр Аудит: аудит доступа глобальных системных объектов.
Возможные последствия
Если параметр Аудит: аудит доступа глобальных системных объектов включен, может быть создано большое количество событий безопасности, особенно на нагруженных контроллерах домена и серверах приложений. Такая ситуация может привести к увеличению времени отклика серверов и записи в журнал безопасности огромного количества малозначимых событий. Этот параметр политики может быть только включен или отключен. Выбирать события, которые будут записываться, нельзя. Даже в организации обладающей ресурсами для анализа событий, созданных при включенном параметре политики, едва ли имеется исходный код или описание назначения каждого именованного объекта. Поэтому многие организации вряд ли смогут оказаться в выигрыше от включения этого параметра политики.
Используйте политику расширенного аудита, чтобы уменьшить число создаваемых несвязанных событий аудита.