Приложение 3. Включение ведения журнала событий целостности кода и аудита системы

Включение ведения журнала событий целостности кода и аудита системы

Фрагмент из раздела Ведение журнала событий целостности кода и аудит системы:

Целостность кода — это компонент режима ядра, который реализует проверку подписи драйвера. Он создает системные события, связанные с проверкой образа, и записывает сведения в журнал целостности кода:

• В операционном представлении журнала целостности кода отображаются только события ошибок проверки изображения.

• В подробном представлении журнала целостности кода отображаются события для успешной проверки подписи.

В следующей процедуре показано, как включить подробное ведение журнала событий целостности кода для просмотра всех успешных событий загрузчика операционной системы и событий проверки образа в режиме ядра.

Включение подробного ведения журнала событий целостности кода

Выдержка израздела Включение журнала аудита системных событий:

Чтобы включить подробное ведение журнала, выполните следующие действия.

1. Откройте окно командной строки с повышенными правами.

2. Запустите Eventvwr.exe в командной строке.

3. В папке Просмотр событий в левой области Просмотр событий разверните следующую последовательность вложенных папок:

   1. Журналы приложений и служб

   2. Майкрософт

   3. Windows

4. Разверните вложенную папку Целостность кода в папке Windows , чтобы отобразить контекстное меню.

5. Выберите Вид.

6. Выберите Показать журналы аналитики и отладки. Просмотр событий отобразит поддеревое дерево, содержащее папку Operational и Verbose.

7. Щелкните правой кнопкой мыши Подробный и выберите пункт Свойства во всплывающем контекстном меню.

8. Перейдите на вкладку Общие в диалоговом окне Свойства , а затем выберите параметр Включить ведение журнала в середине страницы свойств. Это позволит включить подробное ведение журнала.

9. Перезагрузите компьютер, чтобы изменения вступили в силу.

Также можно включить записи системных событий, в том числе события сбоя проверки образа целостности кода. Эти события создаются, когда ядру Windows не удается загрузить драйвер из-за сбоя сигнатуры. Аналогичные события также записываются в представление журнала операционных событий целостности кода.

Включение политики аудита для создания событий аудита в системной категории для неудачных операций

Чтобы включить политику аудита безопасности для записи сбоев загрузки в журналах аудита, выполните следующие действия.

1. Откройте окно командной строки с повышенными правами. Чтобы открыть окно командной строки с повышенными привилегиями, создайте ярлык на рабочем столе, чтобы Cmd.exe, щелкните правой кнопкой мыши ярлыкCmd.exe и выберите Запуск от имени администратора.

2. В окне командной строки с повышенными привилегиями выполните следующую команду:

   Auditpol /set /Category:System /failure:enable
   

3. Перезагрузите компьютер, чтобы изменения вступили в силу.

На следующем снимке экрана показано, как использовать Auditpol для включения аудита безопасности.