Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)
Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии).
Справочные материалы
Осуществлять более точное управление политикой аудита можно с помощью подкатегорий политики аудита.
Существует более 40 подкатегорий, предоставляющих точные данные о действиях на устройстве. Сведения об этих подкатегориях см. в статье Параметры расширенной политики безопасности.
Возможные значения
Включено
Отключено
Рекомендации
- Оставьте параметр включенным. Это дает возможность выполнять аудит событий на уровне категории без изменения политики.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Включено |
Действующие параметры контроллера домена по умолчанию |
Включено |
Действующие параметры рядового сервера по умолчанию |
Включено |
Действующие параметры клиентского компьютера по умолчанию |
Включено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Все функции аудита встроены в групповую политику. Вы можете настраивать, развертывать и контролировать эти параметры в консоли управления групповыми политиками (GPMC) или в оснастке "Локальная политика безопасности" для домена, сайта или подразделения.
Аудит
Чтобы управлять политикой аудита с помощью подкатегорий без изменения групповой политики, значение реестра SCENoApplyLegacyAuditPolicy не допускает применение политики аудита на уровне категорий из групповой политики и инструмента администрирования "Локальная политика безопасности".
Если заданная политика аудита на уровне категорий не согласована с событиями, создаваемыми в настоящий момент, это может быть связано с тем, что задан данный раздел реестра.
Программы командной строки
Для отображения и управления политиками аудита из командной строки можно использовать средство auditpol.exe.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
До введения подкатегорий аудита в Windows Vista отслеживание событий на уровне системы или пользователя было довольно затруднено. Большие категории событий создавали слишком много событий, а поиск ключевых данных для аудита вызывал сложности.
Меры противодействия
Включайте подкатегории политики аудита по необходимости для отслеживания конкретных событий.
Возможные последствия
При попытке изменить параметр аудита с помощью групповой политики после включения этого параметра с использованием программ командной строки параметр аудита групповой политики игнорируется в пользу настраиваемого параметра политики. Чтобы изменить параметры аудита с помощью групповой политики, сначала нужно отключить раздел SCENoApplyLegacyAuditPolicy.
Важно
Следует очень осторожно использовать параметры аудита, которые могут создать большой объем трафика. Например, если включить аудит успешных и неуспешных операций для всех подкатегорий использования привилегий, большой объем создаваемых событий аудита может усложнить поиск других типов записей в журнале событий безопасности. Такая конфигурация может также значительно повлиять на производительность системы.