Аудит использования версий среды выполнения Visual C++
Мақала
Распространяемый компонент Microsoft Visual C++ и среда выполнения Visual Studio C++ (коллективно "Среда выполнения VC") являются критически важными компонентами многих приложений. В вашей сети компьютеры по-прежнему могут использовать приложения, которые устанавливают и применяют неподдерживаемую версию среды выполнения VC. Вы можете использовать аудит файлов NTFS для определения такого использования как шага по замене этих приложений на те, которые используют поддерживаемую версию среды выполнения VC. В этом руководстве описано, как настроить аудит файлов NTFS, получить советы по устранению неполадок и выделить преимущества регулярных аудита.
Включение аудита файлов NTFS для определения использования среды выполнения VC
В этом руководстве приведены инструкции по ручному включению аудита файлов NTFS и проверке событий аудита, чтобы определить, какие приложения вызывает неподдерживаемые версии среды выполнения VC. Поскольку существует несколько файлов, которые могут быть использованы приложением, в этом руководстве также показано, как использовать командлеты PowerShell Get-Acl и Set-Acl для обновления разрешений проверки. Дополнительные сведения о настройке политик аудита для файла см. в статье Применение базовой политики аудита к файлу или папке.
Включение аудита доступа к объектам вручную в системе
Перед включением аудита на уровне файлов необходимо включить доступ к объектам:
Откройте редактор локальной групповой политики, нажав Windows + R, чтобы открыть диалоговое окно запуска . Затем введите gpedit.msc и нажмите ВВОД.
Перейдите к Конфигурация компьютера>Настройки Windows>Параметры безопасности>Конфигурация расширенной политики аудита>Политики системного аудита>Доступ к объектам.
Дважды щелкните Audit File System. В диалоговом окне "Свойства файловой системы аудита" выберите Настройте следующие события аудита>Успех>ОК.
Закройте редактор локальной групповой политики.
Кроме того, можно использовать auditpol.exe для включения доступа к объектам:
Выведите список текущих параметров в командной строке с помощью AuditPol.exe /get /category:"Object Access".
Включите доступ к объекту с помощью AuditPol.exe /set /category:"Object Access" /subcategory:"File System" /success:enable.
Включение аудита в файле вручную
Чтобы отслеживать, какой процесс обращается к файлу среды выполнения VC, включите аудит в файле среды выполнения VC:
Щелкните правой кнопкой мыши файл, который вы хотите проанализировать, выберите Свойства, а затем выберите вкладку Безопасность. Чтобы получить дополнительную информацию о поиске установленных файлов среды выполнения VC, см. расположение установленных VC Runtime.
Выберите Advanced.
В диалоговом окне Дополнительные параметры безопасности выберите вкладку Аудит и нажмите кнопку "Продолжить".
Чтобы добавить новое правило аудита, выберите Добавить. В диалоговом окне аудита выберите субъект, а затем введите имя пользователя или группы, которую нужно добавить, например (все), а затем нажмите кнопку ОК.
В введите типи убедитесь, что выбран Успех.
Выберите Показать предварительные разрешения>Очистить все>Обход папок / Выполнение файлов>ОК.
Теперь в секции аудиторских записей должна появиться новая строка, соответствующая выбранным вами элементам. Выберите ОК.
Откройте средства просмотра событий, нажав Windows + R, чтобы открыть диалоговое окно запуска . Затем введите eventvwr.msc, и нажмите ВВОД.
Перейдите к журналам безопасности в средства просмотра событий, расширив журналы Windows>безопасность. В панели результатов перечислены события безопасности.
Найдите события аудита, выбрав Фильтр текущего журнала... в области действий. Сузьте выборку событий до событий с идентификатором 4663 (успешное выполнение аудита для категории файловой системы), введя 4663 в текстовое поле "Включить/Исключить идентификаторы событий".
PowerShell предоставляет Get-WinEvent для получения записей событий для различных журналов событий, как показано в следующем коде PowerShell, который перечисляет все записи события аудита 4663 за последние 24 часа:
Дальнейшие действия после аудита использования среды выполнения VC
После определения того, какие процессы используют файлы среды выполнения VC или какие приложения установили распространяемый компонент VC, удалите эти приложения или обновите их до более новых версий, которые не зависят от неподдерживаемых сред выполнения VC.
Сведения о том, как выполнять аудит и диагностику для среды Windows Server на предмет соответствия нормативным требованиям, активности пользователей и устранения неполадок. Внедряйте передовые методы обеспечения безопасности с помощью регулярного аудита сетевой среды, чтобы получать своевременные предупреждения о потенциально вредоносных действиях.
В этой статье описано разрешение, чтобы избежать синтаксиса метки каталога, имени файла или метки тома, что возникает при установке среды выполнения VC.