Аудит доступа к объектам
Определяет, подлежит ли аудиту событие доступа пользователя к объекту — например к файлу, папке, разделу реестра, принтеру и т. п., — для которого задан собственный системный список управления доступом (SACL).
Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту, для которого определен соответствующий список SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту, для которого определен список SACL.
Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок "Определить следующие параметры политики" и снимите флажки Успех и Отказ.
Примечание Системный список управления доступом для объекта файловой системы можно установить на вкладке Безопасность диалогового окна Свойства этого объекта.
По умолчанию: Нет аудита.
Настройка этого параметра аудита
Настроить данный параметр безопасности можно, открыв соответствующую политику в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита".
| События доступа к объектам | Описание |
|---|---|
| 560 | Предоставлен доступ к уже существующему объекту. |
| 562 | Закрыт дескриптор объекта. |
| 563 | Предпринята попытка открыть объект с целью его удаления.Примечание Используется файловыми системами, если флаг FILE_DELETE_ON_CLOSE определен в Createfile().
|
| 564 | Защищенный объект был удален. |
| 565 | Был предоставлен доступ к уже существующему типу объекта. |
| 567 | Использовалось разрешение, связанное с дескриптором.Примечание Дескриптор создан с определенными предоставленными разрешениями ("Чтение", "Запись" и т. д). При использовании дескриптора для каждого использовавшегося разрешения создается не более одной записи аудита.
|
| 568 | Предпринята попытка создать жесткую связь с файлом, для которого выполняется аудит. |
| 569 | Диспетчер ресурсов в диспетчере авторизации предпринял попытку создания контекста клиента. |
| 570 | Клиент предпринял попытку получить доступ к объекту. Примечание Для каждой попытки выполнить операцию с объектом будет создано событие.
|
| 571 | Контекст клиента удален приложением "Диспетчер авторизации". |
| 572 | Административный менеджер инициализировал приложение. |
| 772 | Диспетчер сертификатов отклонил ожидающий выполнения запрос на сертификат. |
| 773 | Службы сертификатов получили повторно отправленный запрос на сертификат |
| 774 | Службы сертификатов отозвали сертификат. |
| 775 | Службы сертификатов получили запрос на публикацию списка отзыва сертификатов (CRL). |
| 776 | Службы сертификатов опубликовали список отзыва сертификатов (CRL). |
| 777 | Сделано расширение запроса сертификата. |
| 778 | Один или несколько атрибутов запроса на сертификат изменены. |
| 779 | Службы сертификатов получили запрос на завершение работы. |
| 780 | Запущено резервное копирование служб сертификатов. |
| 781 | Резервное копирование служб сертификатов завершено. |
| 782 | Запущено восстановление служб сертификатов. |
| 783 | Восстановление служб сертификатов завершено. |
| 784 | Службы сертификатов запущены. |
| 785 | Службы сертификатов остановлены. |
| 786 | Разрешения безопасности для служб сертификатов изменились. |
| 787 | Службы сертификатов получили архивированный ключ. |
| 788 | Службы сертификатов импортировали сертификат в свою базу данных. |
| 789 | Фильтр аудита для служб сертификатов был изменен. |
| 790 | Службы сертификатов получили запрос на сертификат. |
| 791 | Службы сертификатов утвердили запрос на сертификат и выдали сертификат. |
| 792 | Службы сертификатов отклонили запрос на сертификат. |
| 793 | Службы сертификатов задают состояние запроса сертификата как «ожидает выполнения». |
| 794 | Параметры диспетчера сертификатов для служб сертификатов изменились. |
| 795 | Запись конфигурации в службах сертификатов изменились. |
| 796 | Свойство служб сертификатов изменилось. |
| 797 | Службы сертификатов архивировали ключ. |
| 798 | Службы сертификатов импортировали и архивировали ключ. |
| 799 | Службы сертификатов опубликовали сертификат ЦС в Active Directory. |
| 800 | Одна или несколько строк были удалены из базы данных сертификатов. |
| 801 | Разделение ролей включено. |