Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)

Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики безопасности Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии).

Справочные материалы

Осуществлять более точное управление политикой аудита можно с помощью подкатегорий политики аудита.

Существует более 40 подкатегорий, предоставляющих точные данные о действиях на устройстве. Сведения об этих подкатегориях см. в статье Параметры расширенной политики безопасности.

Возможные значения

  • Включено

  • Отключено

Рекомендации

  • Оставьте параметр включенным. Это дает возможность выполнять аудит событий на уровне категории без изменения политики.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Включено

Действующие параметры контроллера домена по умолчанию

Включено

Действующие параметры рядового сервера по умолчанию

Включено

Действующие параметры клиентского компьютера по умолчанию

Включено

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.

Групповая политика

Все функции аудита встроены в групповую политику. Вы можете настраивать, развертывать и контролировать эти параметры в консоли управления групповыми политиками (GPMC) или в оснастке "Локальная политика безопасности" для домена, сайта или подразделения.

Аудит

Чтобы управлять политикой аудита с помощью подкатегорий без изменения групповой политики, значение реестра SCENoApplyLegacyAuditPolicy не допускает применение политики аудита на уровне категорий из групповой политики и инструмента администрирования "Локальная политика безопасности".

Если заданная политика аудита на уровне категорий не согласована с событиями, создаваемыми в настоящий момент, это может быть связано с тем, что задан данный раздел реестра.

Программы командной строки

Для отображения и управления политиками аудита из командной строки можно использовать средство auditpol.exe.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

До введения подкатегорий аудита в Windows Vista отслеживание событий на уровне системы или пользователя было довольно затруднено. Большие категории событий создавали слишком много событий, а поиск ключевых данных для аудита вызывал сложности.

Меры противодействия

Включайте подкатегории политики аудита по необходимости для отслеживания конкретных событий.

Возможные последствия

При попытке изменить параметр аудита с помощью групповой политики после включения этого параметра с использованием программ командной строки параметр аудита групповой политики игнорируется в пользу настраиваемого параметра политики. Чтобы изменить параметры аудита с помощью групповой политики, сначала нужно отключить раздел SCENoApplyLegacyAuditPolicy.

Важно  

Следует очень осторожно использовать параметры аудита, которые могут создать большой объем трафика. Например, если включить аудит успешных и неуспешных операций для всех подкатегорий использования привилегий, большой объем создаваемых событий аудита может усложнить поиск других типов записей в журнале событий безопасности. Такая конфигурация может также значительно повлиять на производительность системы.

 

Связанные разделы

Параметры безопасности

 

 

Показ: