Аудит: немедленное завершение работы системы, если невозможно внести в журнал записи об аудите безопасности
Описаны рекомендации, расположение, значения, методы управления и соображения безопасности для параметра политики безопасности Аудит: немедленное завершение работы системы, если невозможно внести в журнал записи об аудите безопасности.
Справочные материалы
Параметр политики Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности определяет, будет ли отключена система, если она не может записывать в журнал события безопасности. Этот параметр политики является обязательным для сертификации по стандарту TCSEC уровня безопасности C2 и Common Criteria для предотвращения возникновения подлежащих аудиту событий в случае, если система аудита не может вносить эти события в журнал. Корпорация Майкрософт решила выполнить это требование путем остановки системы и отображения сообщения об остановке при сбое системы аудита. Включение этого параметра политики приводит к остановке системы, если по какой-либо причине невозможно вести журнал аудита безопасности. Как правило, событие не удается внести в журнал, если журнал аудита безопасности заполнен и параметр Метод сохранения событий в журнале безопасности имеет значение Не переписывать события (очистка журнала вручную) или Затирать старые события по дням.
Когда параметру Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности задано значение Включено, если журнал безопасности заполнен и существующая запись не может быть перезаписана, выводится следующее сообщение об остановке.
STOP: C0000244 {Сбой аудита} Не удалось создать аудит безопасности. |
Чтобы выполнить восстановление, необходимо войти в систему, создать архив журнала (необязательно), очистить журнал и изменить значение параметра.
Если компьютер не может записывать события в журнал безопасности, важные данные или информация для устранении неполадок могут быть недоступны для просмотра после возникновения инцидента безопасности.
Возможные значения
Включено
Отключено
Не определено
Рекомендации
- В зависимости от требований аудита безопасности можно включить параметр Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности, чтобы обеспечить сбор данных аудита безопасности для анализа. Однако включение этого параметра приведет к увеличению количества событий, вносимых в журнал.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Отключено |
Действующие параметры рядового сервера по умолчанию |
Отключено |
Действующие параметры клиентского компьютера по умолчанию |
Отключено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Административная нагрузка при включении этого параметра политики может быть очень высока, особенно если параметру Метод сохранения событий в журнале безопасности задать значение Не переписывать события (очистка журнала вручную). Этот параметр преобразует угрозу причастности (оператор архива может отрицать, что он выполнял резервное копирование или восстановление данных) в угрозу типа "отказ в обслуживании", так как сервер можно принудительно отключить, если он перегружен событиями входа и другими событиями безопасности, которые записываются в журнал безопасности. Кроме того, поскольку завершение работы выполняется резко, возможно возникновение непоправимых повреждений в операционной системе, установленных программах и данных. Несмотря на то, что файловая система NTFS обеспечивает целостность файловой системы в случае резкого завершения работы компьютера, нельзя гарантировать целостность всех файлов данных для всех приложений после перезагрузки.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.
Групповая политика
Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Если компьютер не может записывать события в журнал событий безопасности, важные данные или информация для устранения неполадок могут быть недоступны для просмотра после возникновения инцидента безопасности. Злоумышленник может создавать большое количество событий журнала безопасности, чтобы преднамеренно и принудительно завершить работу компьютера.
Меры противодействия
Включите параметр Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности, чтобы обеспечить сбор данных аудита безопасности для анализа.
Возможные последствия
Административная нагрузка при включении этого параметра политики может быть очень высока, особенно если параметру Метод сохранения событий в журнале безопасности задать значение Не переписывать события (очистка журнала вручную). Эта конфигурация преобразует угрозу причастности (оператор архива может отрицать, что он выполнял резервное копирование или восстановление данных) в угрозу типа "отказ в обслуживании", так как сервер можно принудительно отключить, если он перегружен событиями входа и другими событиями безопасности, которые записываются в журнал событий безопасности. Кроме того, поскольку завершение работы выполняется резко, возможно возникновение непоправимых повреждений в операционной системе, установленных программах и данных. Несмотря на то, что файловая система NTFS обеспечивает целостность файловой системы в случае подобного завершения работы компьютера, нельзя гарантировать целостность всех файлов данных для всех приложений после перезагрузки устройства.