Приложение 3. Включение ведения журнала событий целостности кода и аудита системы
Включение ведения журнала событий целостности кода и аудита системы
Фрагмент из раздела Ведение журнала событий целостности кода и аудит системы:
Целостность кода — это компонент режима ядра, который реализует проверку подписи драйвера. Он создает системные события, связанные с проверкой образа, и записывает сведения в журнал целостности кода:
В операционном представлении журнала целостности кода отображаются только события ошибок проверки изображения.
В подробном представлении журнала целостности кода отображаются события для успешной проверки подписи.
В следующей процедуре показано, как включить подробное ведение журнала событий целостности кода для просмотра всех успешных событий загрузчика операционной системы и событий проверки образа в режиме ядра.
Включение подробного ведения журнала событий целостности кода
Выдержка израздела Включение журнала аудита системных событий:
Чтобы включить подробное ведение журнала, выполните следующие действия.
Откройте окно командной строки с повышенными правами.
Запустите Eventvwr.exe в командной строке.
В папке Просмотр событий в левой области Просмотр событий разверните следующую последовательность вложенных папок:
Журналы приложений и служб
Майкрософт
Windows
Разверните вложенную папку Целостность кода в папке Windows , чтобы отобразить контекстное меню.
Выберите Вид.
Выберите Показать журналы аналитики и отладки. Просмотр событий отобразит поддеревое дерево, содержащее папку Operational и Verbose.
Щелкните правой кнопкой мыши Подробный и выберите пункт Свойства во всплывающем контекстном меню.
Перейдите на вкладку Общие в диалоговом окне Свойства , а затем выберите параметр Включить ведение журнала в середине страницы свойств. Это позволит включить подробное ведение журнала.
Перезагрузите компьютер, чтобы изменения вступили в силу.
Также можно включить записи системных событий, в том числе события сбоя проверки образа целостности кода. Эти события создаются, когда ядру Windows не удается загрузить драйвер из-за сбоя сигнатуры. Аналогичные события также записываются в представление журнала операционных событий целостности кода.
Включение политики аудита для создания событий аудита в системной категории для неудачных операций
Чтобы включить политику аудита безопасности для записи сбоев загрузки в журналах аудита, выполните следующие действия.
Откройте окно командной строки с повышенными правами. Чтобы открыть окно командной строки с повышенными привилегиями, создайте ярлык на рабочем столе, чтобы Cmd.exe, щелкните правой кнопкой мыши ярлыкCmd.exe и выберите Запуск от имени администратора.
В окне командной строки с повышенными привилегиями выполните следующую команду:
Auditpol /set /Category:System /failure:enable
Перезагрузите компьютер, чтобы изменения вступили в силу.
На следующем снимке экрана показано, как использовать Auditpol для включения аудита безопасности.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по