Описание основных категорий аудита

  • 7 мин

Аудит журналов записывает события безопасности и действия в журнале безопасности Windows. Затем эти журналы аудита можно отслеживать, чтобы выявить проблемы, требующие дальнейшего изучения. Вы также можете осуществлять аудит успешных действий. Такой подход может быть полезен, поскольку он позволяет получить документальное подтверждение изменений. Аудит также может регистрировать неудачные попытки злонамеренных хакеров или неавторизованных пользователей получить доступ к ресурсам организации. При настройке аудита вам нужно указать параметры аудита, включить политику аудита, а затем отслеживать события в журналах безопасности.

Windows Server предоставляет две категории аудита:

  • Основной аудит. Девять значений, которые позволяют осуществлять аудит основных событий безопасности.
  • Расширенный аудит. Десять категорий событий, которые содержат более подробные параметры политики. Вы можете выбрать между более чем 60 настраиваемыми параметрами политики.

Каковы основные категории аудита?

В следующей таблице описаны основные категории аудита.

Параметр политики аудита Описание
Аудит событий входа в систему Создает событие, когда пользователь или компьютер пытается использовать учетную запись Windows Server Active Directory для проверки подлинности. Например, когда пользователь входит в систему на любом компьютере в домене, создается событие входа в учетную запись.
Аудит события входа Создает событие, когда пользователь входит в систему интерактивно (локально) на компьютере или по сети (удаленно). Например, если рабочая станция и сервер настроены таким образом, чтобы проверять события входа в систему, рабочая станция будет проверять пользователя, входящего в систему непосредственно на этой рабочей станции. Когда пользователь подключается к общей папке на сервере, сервер регистрирует событие удаленного входа. Когда пользователь входит в систему, контроллер домена регистрирует событие входа, поскольку сценарии и политики входа извлекаются из контроллера домена.
Аудит управления учетными записями Осуществляет аудит событий, в частности, создание, удаление или изменение учетных записей пользователей, групп или компьютеров, а также сброс паролей пользователей.
Аудит доступа к службе каталогов Выполняет аудит событий, указанных в системном списке управления доступом (SACL), которые можно просмотреть в диалоговом окне "Дополнительные параметры безопасности" раздела "Свойства" объекта AD DS. Помимо определения политики аудита с этим параметром, вам понадобится также настроить аудит для конкретного объекта (или объектов) с помощью списка SACL объекта (или объектов). Эта политика аналогична политике доступа к объектам аудита, используемой для аудита файлов и папок, но применяется к объектам AD DS.
Аудит изменения политики Осуществляет аудит изменений в политиках назначения прав пользователей, политиках аудита или политиках доверия.
Аудит использования привилегий Выполняет аудит использования разрешений или прав пользователя. См. поясняющий текст к этой политике в редакторе "Управление групповыми политиками".
Аудит системных событий Выполняет аудит перезагрузок, завершений работы системы или изменений, влияющих на систему или журналы безопасности.
Аудит отслеживания процессов Осуществляет аудит таких событий, как активация программы и завершение процесса. См. поясняющий текст к этой политике в редакторе "Управление групповыми политиками".
Аудит доступа к объектам Выполняет аудит доступа к таким объектам, как файлы, папки, разделы реестра и принтеры, имеющим собственные SACL. Помимо включения этой политики аудита, вам понадобится настроить записи аудита в списках SACL объектов.

Настройка основного аудита

Эти основные категории аудита можно просмотреть и настроить с помощью консоли "Локальная политика безопасности", как показано на следующем снимке экрана. Здесь администратор выбрал узел политики аудита в консоли локальной политики безопасности и настройте параметры аудита успешного и сбоя.

Снимок экрана: консоль локальной политики безопасности и основные категории аудита. Выбран узел политики аудита и настроены различные параметры аудита успешности и сбоя.

Совет

Вы также можете использовать групповую политику, которая упрощает настройку параметров для нескольких компьютеров.

Или сделайте в консоли управления групповой политикой следующее:

  1. Выберите нужный объект групповой политики и откройте его для редактирования.
  2. В редакторе управления групповыми политиками в узле конфигурации компьютера разверните узел "Политики\Параметры Windows\Параметры безопасности\Локальные политики", а затем выберите "Политика аудита".
  3. Откройте любой параметр политики в редакторе "Управление групповыми политиками".
  4. Установите флажок "Определить эти параметры политики ", а затем выберите, следует ли включить аудит событий успешного выполнения, событий сбоя или обоих. Затем нажмите кнопку "ОК".

Зачастую вам может показаться заманчивой возможность включения всех значений аудита для всех доступных параметров. Однако в результате может образоваться большой журнал аудита, который вам придется анализировать. Так что, фокусируйтесь на важных моментах и включайте только полезные параметры.

Например, если вы выполняете аудит событий неудачного входа в учетную запись, можно выявить попытки злонамеренного хакера получить доступ к домену путем многократных попыток войти в систему в качестве пользователя домена, не указывая пароль учетной записи. А вот аудит успешных событий входа в учетную запись не особенно полезен, так как он, вероятнее всего, будет указывать на событие допустимого входа в систему.

Совет

Аудит событий неудачного управления учетными записями может выявить злоумышленника, который пытается управлять членством в группе, имеющей важное значение для безопасности.

Одна из ваших важнейших задач — сбалансировать и согласовать политику аудита с корпоративной политикой и с тем, что является актуальным для вашей организации. Например, в корпоративной политике может быть указано, что все неудачные входы в систему и успешные изменения пользователей и групп AD DS должны подвергаться аудиту. Это легко сделать в доменных службах Active Directory (AD DS). Но вы должны решить, как использовать эти сведения перед реализацией политик аудита.

Совет

Подробные журналы аудита бесполезны, если вы не знаете, как эффективно управлять этими журналами или не иметь таких средств.

Для внедрения аудита необходимо иметь хорошо настроенную политику аудита и инструменты, с помощью которых можно управлять проверяемыми событиями.

Указание параметров аудита для файла или папки

Многие организации предпочитают осуществлять аудит доступа к файлам. Windows Server поддерживает детализированный аудит на основе учетных записей пользователей или групп и определенных действий, выполняемых этими учетными записями.

Чтобы настроить аудит файлов или папок, необходимо выполнить приведенные ниже три шага.

  1. Определите параметры доступа к объекту аудита и выберите "Успех", " Сбой" или "Оба".

    Примечание.

    Включение аудита успешных выполнений может привести к созданию большого объема данных журналов, которые могут оказаться малоэффективными. В конце концов, эти данные сообщают о том, что кто-то успешно получил доступ к файлу или папке. Это более интересно знать, когда кто-то завершается сбоем.

  2. Найдите папку, которую нужно отслеживать. Щелкните правой кнопкой мыши папку и выберите пункт "Свойства".

  3. На вкладке "Безопасность " выберите "Дополнительно".

  4. Откройте вкладку "Аудит" на странице "Дополнительные параметры безопасности ".

  5. Выберите "Добавить", выберите субъекты безопасности, действия которых необходимо выполнить аудит в папке, а затем выберите действия, которые нужно отслеживать.

  6. В списке "Тип " выберите "Все", " Успех" или " Сбой".

  7. Затем выберите разрешения, которые нужно отслеживать, и, наконец, дважды нажмите кнопку "ОК ".

На следующем снимке экрана администратор выбрал параметры аудита для папки с именем SalesReports. И решил выполнять аудит неудачных попыток доступа пользователей домена.

На этом снимке экрана отображаются настройки аудита для папки SalesReports. Для пользователей домена, пытающихся получить доступ к папке SalesReports, выбран тип аудита

Типичное применение

Аудит успешных выполнений можно выполнять в следующих целях:

  • Чтобы вести журнал доступа к ресурсам для создания отчетов и выставления счетов.
  • Чтобы отслеживать доступ, предполагающий, что пользователи выполняют действия, превышающие запланированные, что может свидетельствовать о представлении избыточных разрешений.
  • Для выявления доступа, нехарактерного для конкретной учетной записи, что может быть признаком того, что злоумышленник взломал учетную запись пользователя.

Аудит событий сбоя полезен для следующих целей:

  • Для отслеживания попыток неавторизованных пользователей получить доступ к ресурсу.
  • Для обнаружения неудачных попыток доступа к файлу или папке, к которым пользователю требуется доступ. Это указывает на то, что разрешений недостаточно для выполнения бизнес-требований.

Предупреждение

Журналы аудита могут быстро увеличиваться в объеме. Поэтому настройте необходимый минимум для достижения цели безопасности вашей организации.

Оценка событий в журнале безопасности

После включения параметра политики "Аудит доступа к объектам" и использования списков SACL объектов для указания доступа, подлежащего аудиту, Windows Server начинает регистрировать события получения доступа в соответствии с записями аудита. Полученные события можно просмотреть в журнале событий безопасности сервера. Для этого в меню "Администрирование" откройте консоль Просмотра событий, а затем разверните узел "Журналы Windows", а затем — "Безопасность", как показано на следующем снимке экрана. Администратор выбрал журнал безопасности и выделил событие с идентификатором 4663; такое событие связано с попыткой доступа к объекту файла.

На этом снимке экрана показана консоль средства просмотра событий в средствах администрирования. Журналы Windows\Безопасность развернуты с выбранным журналом безопасности. Выделено событие id 4336.