Мониторинг Active Directory для обнаружения признаков компрометации

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Номер закона пять: вечное бдительность является ценой безопасности. - 10 неизменяемых законов о безопасности Администратор istration

Надежная система мониторинга журналов событий является важной частью любой безопасной разработки Active Directory. Многие компрометации безопасности компьютера могут быть обнаружены в начале события, если целевые объекты приняли соответствующий мониторинг журналов событий и оповещения. Независимые отчеты уже давно поддерживают это заключение. Например, отчет о нарушении данных Verizon в 2009 году:

"Очевидное неэффективность мониторинга событий и анализа журналов продолжает быть несколько загадкой. Существует возможность обнаружения; следователи отметили, что 66 процентов жертв имели достаточные доказательства, доступные в своих журналах, чтобы обнаружить нарушение, было бы они более старательными в анализе таких ресурсов".

Это отсутствие мониторинга активных журналов событий остается согласованной слабостью во многих компаниях в планах защиты безопасности. В докладе Verizon Data Breach в 2012 году было обнаружено, что, несмотря на то, что 85 процентов нарушений заняли несколько недель, 84 процента жертв имели доказательства нарушения в своих журналах событий.

Политика аудита Windows

Ниже приведены ссылки на блог о поддержке корпорации Майкрософт. Содержимое этих блогов предоставляет рекомендации, рекомендации и рекомендации по аудиту, помогающие повысить безопасность инфраструктуры Active Directory и являются ценным ресурсом при разработке политики аудита.

• Глобальный аудит доступа к объектам — это магическая функция. Описывает механизм управления с именем "Расширенная конфигурация политики аудита", добавленный в Windows 7 и Windows Server 2008 R2, который позволяет задать типы данных, которые требуется легко выполнять аудит без необходимости переключать скрипты и auditpol.exe.
• Введение изменений аудита в Windows 2008 — представляет изменения аудита, внесенные в Windows Server 2008 .
• Прохладные рекомендации по аудиту в Vista и 2008 — объясняет интересные функции аудита Windows Vista и Windows Server 2008 , которые можно использовать для устранения неполадок или просмотра того, что происходит в вашей среде.
• Единый магазин для аудита в Windows Server 2008 и Windows Vista — содержит компиляцию функций аудита и сведений, содержащихся в Windows Server 2008 и Windows Vista .

Следующие ссылки содержат сведения об улучшениях аудита Windows в Windows 8 и Windows Server 2012 и о аудите AD DS в Windows Server 2008.

• Новые возможности аудита безопасности. Общие сведения о новых функциях аудита безопасности в Windows 8 и Windows Server 2012.
• Пошаговое руководство по аудиту AD DS— описывает новую функцию аудита служб домен Active Directory (AD DS) в Windows Server 2008. Также предоставляет процедуры для реализации этой новой функции.

Категории аудита Windows

До Windows Vista и Windows Server 2008 Windows имели только девять категорий политик аудита журнала событий:

• События входа в учетную запись
• Управление учетными записями
• Доступ к службе каталогов
• События входа
• Доступ к объектам
• Изменение политики
• Использование привилегий
• Отслеживание процессов
• Системные события

Эти девять традиционных категорий аудита составляют политику аудита. Каждая категория политики аудита может быть включена для событий успешного выполнения, сбоя или сбоя. Их описания включены в следующий раздел.

Описания категорий политики аудита

Категории политики аудита позволяют включить следующие типы сообщений журнала событий.

Аудит событий входа в учетную запись

Аудит событий входа в учетную запись сообщает каждый экземпляр субъекта безопасности (например, пользователя, компьютера или учетной записи службы), который входит в систему или выключается с одного компьютера, когда другой компьютер используется для проверки учетной записи. События входа в учетную запись создаются при проверке подлинности учетной записи субъекта безопасности домена на контроллере домена. Проверка подлинности локального пользователя на локальном компьютере создает событие входа, вошедшее в локальный журнал безопасности. События выхода из учетной записи не регистрируются.

Эта категория создает много шума, так как Windows постоянно имеет учетные записи для входа в локальные и удаленные компьютеры во время нормального бизнеса. Несмотря на это неудобства, каждый план безопасности должен включать успех и сбой этой категории аудита.

Аудит управления учетными записями

Этот параметр аудита определяет, следует ли отслеживать управление пользователями и группами. Например, пользователи и группы должны отслеживаться при создании, изменении или удалении учетной записи пользователя или компьютера, группы безопасности или группы рассылки. Пользователи и группы также должны отслеживаться при переименовании, отключении или включении учетной записи пользователя или компьютера, а также при изменении пароля пользователя или компьютера. Событие можно создать для пользователей или групп, добавленных или удаленных из других групп.

Аудит доступа к службе каталогов

Этот параметр политики определяет, следует ли проверять доступ субъекта безопасности к объекту Active Directory с собственным списком управления доступом системы (SACL). Как правило, эта категория должна быть включена только на контроллерах домена. Этот параметр создает много шума, если включен.

Аудит событий входа в систему

События входа создаются при проверке подлинности локального субъекта безопасности на локальном компьютере. События входа записывают доменные входы в систему, которые происходят на локальном компьютере. События выхода учетной записи не создаются. При включении события входа создают много шума, но эта политика, тем не менее, должна быть включена по умолчанию в любом плане аудита безопасности.

Аудит доступа к объектам

Доступ к объектам может создавать события при последующем определении объектов с включенным аудитом (например, "Открытый", "Чтение", "Переименовано", "Удалено" или "Закрыто"). После включения основной категории аудита администратор должен отдельно определить, какие объекты будут включены для аудита. Многие системные объекты Windows включены с включенным аудитом, поэтому включение этой категории обычно начинает создавать события, прежде чем администратор определил любой.

Эта категория очень "шумная" и создаст пять до 10 событий для каждого доступа к объекту. Для администраторов может оказаться сложной задачей аудита, чтобы получить полезную информацию. Он должен быть включен только при необходимости.

Изменение политики аудита

Этот параметр политики определяет, следует ли проверять все случаи изменения политик назначения прав пользователей, политик брандмауэра Windows, политик доверия или изменений в политике аудита. Эта категория должна быть включена на всех компьютерах. Он создает очень мало "шума".

Использование привилегий аудита

В Windows есть десятки прав и разрешений пользователя (например, вход в качестве пакетного задания и действия в составе операционной системы). Этот параметр политики определяет, следует ли проверять каждый экземпляр субъекта безопасности, выполняя право пользователя или привилегию. Включение этой категории приводит к много шума, но это может быть полезно для отслеживания учетных записей субъектов безопасности с повышенными привилегиями.

Отслеживание процессов аудита

Этот параметр политики определяет, следует ли проверять подробные сведения об отслеживании процессов для таких событий, как активация программы, выход процесса, обработка дублирования и косвенный доступ к объектам. Это полезно для отслеживания вредоносных пользователей и программ, которые они используют.

Включение отслеживания процессов аудита создает большое количество событий, поэтому обычно оно имеет значение "Нет аудита". Однако этот параметр может оказать большую выгоду во время реагирования на инциденты из подробного журнала запущенных процессов и времени их запуска. Для контроллеров домена и других серверов инфраструктуры с одной ролью эта категория может быть безопасно включена все время. Серверы отдельных ролей не создают большого трафика отслеживания процессов во время нормального выполнения своих обязанностей. Таким образом, они могут быть включены для записи несанкционированных событий при их возникновении.

Аудит системных событий

Системные события почти является универсальной категорией catch-all, регистрируя различные события, влияющие на компьютер, его системную безопасность или журнал безопасности. Он включает в себя события завершения работы компьютера и перезапуска, сбоев питания, изменения времени системы, инициализации пакета проверки подлинности, очистки журнала аудита, проблемы олицетворения и множество других общих событий. Как правило, включение этой категории аудита создает много "шума", но оно создает достаточно полезных событий, которые трудно когда-либо рекомендовать не включать.

Расширенные политики аудита

Начиная с Windows Vista и Windows Server 2008, корпорация Майкрософт улучшила способ выбора категорий журналов событий путем создания подкатегорий в каждой основной категории аудита. Подкатегории позволяют выполнять аудит гораздо более детально, чем в противном случае с помощью основных категорий. Используя подкатегории, можно включить только части определенной основной категории и пропустить создание событий, которые не полезны. Каждую подкатегорию политики аудита можно включить для отслеживания событий успеха, отказа либо успеха и отказа.

Чтобы получить список всех доступных подкатегорий аудита, просмотрите контейнер расширенной политики аудита в объекте групповой политики или введите следующую команду на любом компьютере под управлением Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 или Windows Vista:

auditpol /list /subcategory:*

Чтобы получить список настроенных в настоящее время подкатегорий аудита на компьютере подкатегории подкатегории Windows Server 2012, Windows Server 2008 R2 или Windows 2008, введите следующую команду:

auditpol /get /category:*

На следующем снимка экрана показан пример auditpol.exe перечисления текущей политики аудита.

Примечание.

Групповая политика не всегда точно сообщает о состоянии всех включенных политик аудита, а auditpol.exe. Дополнительные сведения см. в статье "Получение эффективной политики аудита" в Windows 7 и 2008 R2 .

Каждая основная категория имеет несколько подкатегорий. Ниже приведен список категорий, их подкатегорий и описания их функций.

Аудит описания подкатегорий

Подкатегории политики аудита позволяют включить следующие типы сообщений журнала событий:

Вход учетной записи

Проверка учетных данных

Эта подкатегория сообщает о результатах проверки учетных данных, отправленных для запроса на вход в учетную запись пользователя. Эти события происходят на компьютере, который является доверенным для учетных данных. Для учетных записей домена контроллер домена является доверенным; для локальных учетных записей локальный компьютер является доверенным.

В доменных средах большинство событий входа в учетную запись регистрируются в журнале безопасности контроллеров домена, которые являются доверенными для учетных записей домена. Однако эти события могут возникать на других компьютерах в организации, когда для входа в систему используются локальные учетные записи.

Операции по запросу на обслуживание Kerberos

Эта подкатегория сообщает о событиях, созданных процессами запроса запроса на запросы kerberos на контроллере домена, который является доверенным для учетной записи домена.

Служба проверки подлинности Kerberos

Эта подкатегория сообщает о событиях, созданных службой проверки подлинности Kerberos. Эти события происходят на компьютере, который является доверенным для учетных данных.

Другие события входа в учетную запись

Эта подкатегория сообщает события, возникающие в ответ на учетные данные, отправленные для запроса входа в учетную запись пользователя, которые не относятся к проверке учетных данных или билетам Kerberos. Эти события происходят на компьютере, который является доверенным для учетных данных. Для учетных записей домена доверенным является контроллер домена, в то время как для локальных учетных записей доверенным является локальный компьютер.

В доменных средах большинство событий входа в учетную запись регистрируются в журнале безопасности контроллеров домена, которые являются доверенными для учетных записей домена. Однако эти события могут возникать на других компьютерах в организации, когда для входа в систему используются локальные учетные записи. Ниже приведены примеры.

• Отключение сеанса служб удаленных рабочих столов
• Новые сеансы служб удаленных рабочих столов
• Блокировка и разблокировка рабочей станции
• Вызов средства сохранения экрана
• Закрытие средства сохранения экрана
• Обнаружение атаки воспроизведения Kerberos, в которой запрос Kerberos с идентичными сведениями получается дважды.
• Доступ к беспроводной сети, предоставленной учетной записи пользователя или компьютера
• Доступ к проводной сети 802.1x, предоставленной учетной записи пользователя или компьютера

Управление учетными записями

Управление учетными записями пользователей

Эта подкатегория сообщает о каждом событии управления учетными записями пользователей, например:

• Учетная запись пользователя, созданная, измененная или удаленная
• Учетная запись пользователя переименована, отключена или включена
• Набор паролей или изменение

Если этот параметр политики аудита включен, администраторы могут отслеживать события для обнаружения вредоносных, случайных и авторизованных учетных записей пользователей.

Управление учетными записями компьютера

Эта подкатегория сообщает о каждом событии управления учетными записями компьютера, например при создании, изменении, удалении, переименовании, отключении или включении учетной записи компьютера.

Управление группами безопасности

Эта подкатегория сообщает о каждом событии управления группами безопасности, например при создании, изменении или удалении группы безопасности или при добавлении или удалении члена из группы безопасности. Если этот параметр политики аудита включен, администраторы могут отслеживать события для обнаружения вредоносных, случайных и авторизованных учетных записей групп безопасности.

Управление группами рассылки

Эта подкатегория сообщает о каждом событии управления группами рассылки, например при создании, изменении или удалении группы рассылки или при добавлении или удалении члена из группы рассылки. Если этот параметр политики аудита включен, администраторы могут отслеживать события для обнаружения вредоносных, случайных и авторизованных учетных записей групп.

Управление группами приложений

Эта подкатегория сообщает о каждом событии управления группами приложений на компьютере, например при создании, изменении или удалении группы приложений или при добавлении или удалении члена из группы приложений. Если этот параметр политики аудита включен, администраторы могут отслеживать события для обнаружения вредоносных, случайных и авторизованных учетных записей групп приложений.

Другие события управления учетными записями

Эта подкатегория сообщает о других событиях управления учетными записями.

Подробное отслеживание процессов

Подробный мониторинг отслеживания процессов включает как создание, так и завершение процессов.

Создание процесса

Эта подкатегория сообщает о создании процесса и имени пользователя или программы, созданной им.

Завершение процесса

Этот подкатегорий сообщает о завершении процесса.

Действие DPAPI

Отчеты о подкатегории шифруют или расшифровывают вызовы в интерфейс программирования приложения защиты данных (DPAPI). DPAPI используется для защиты секретных сведений, таких как сохраненные пароли и сведения о ключе.

События RPC

Эта подкатегория сообщает о событиях подключения удаленного вызова процедур (RPC).

Доступ к службе каталогов

Доступ к службе каталогов

Эта подкатегория сообщает о доступе к объекту AD DS. Только объекты с настроенными SACLs вызывают создание событий аудита и только в том случае, если они получают доступ таким образом, чтобы они соответствовали записям SACL. Эти события похожи на события доступа к службе каталогов в более ранних версиях Windows Server. Эта подкатегория применяется только к контроллерам домена.

Изменения службы каталогов

Эта подкатегория сообщает об изменениях объектов в AD DS. Типы внесенных изменений: создание, изменение, перемещение и отмена операций, выполняемых в объекте. Аудит изменений службы каталогов, где это необходимо, указывает старые и новые значения измененных свойств измененных объектов. Только объекты с SACLs вызывают создание событий аудита и только в том случае, если к ним обращаются соответствующие записи SACL. Некоторые объекты и свойства не вызывают создания событий аудита из-за параметров класса объектов в схеме. Эта подкатегория применяется только к контроллерам домена.

Репликация службы каталогов

Эта подкатегория сообщает, когда реплика tion между двумя контроллерами домена начинается и заканчивается.

Подробная репликация службы каталогов

В этом подкатегории содержатся подробные сведения о реплика данных, реплика между контроллерами домена. Эти события могут быть очень большими в томе.

Вход/выход

Вход в систему

Эта подкатегория сообщает, когда пользователь пытается войти в систему. Эти события происходят на компьютере, к которому осуществляется доступ. При интерактивном входе в систему на компьютере выполняется создание этих событий. Если для доступа к общему ресурсу выполняется вход в сеть, эти события генерируются на компьютере, на котором размещен ресурс, к которому осуществляется доступ. Если этот параметр настроен на отсутствие аудита, сложно определить, к каким пользователям был доступ или попытка получить доступ к компьютерам организации.

Сервер политики сети

Эта подкатегория сообщает о событиях, создаваемых запросами доступа пользователей RADIUS (IAS) и защиты доступа к сети (NAP). Эти запросы могут быть Grant, Deny, Dis карта, Карантин, Блокировка и разблокировка. Аудит этого параметра приведет к средней или высокой громкости записей на серверах NPS и IAS.

Основной режим IPsec

Эта подкатегория сообщает результаты протокола IKE для обмена ключами Интернета (IKE) и протоколу AuthIP проверки подлинности во время переговоров в режиме главного режима.

Расширенный режим IPsec

Эта подкатегория сообщает результаты AuthIP во время переговоров в расширенном режиме.

Другие события входа и выхода

Эта подкатегория сообщает о других событиях входа и выхода, таких как отключение сеанса служб удаленных рабочих столов и повторное подключение, использование runAs для запуска процессов под другой учетной записью, блокировка и разблокировка рабочей станции.

Выхода

Эта подкатегория сообщает, когда пользователь удаляет систему. Эти события происходят на компьютере, к которому осуществляется доступ. При интерактивном входе в систему на компьютере выполняется создание этих событий. Если для доступа к общему ресурсу выполняется вход в сеть, эти события генерируются на компьютере, на котором размещен ресурс, к которому осуществляется доступ. Если этот параметр настроен на отсутствие аудита, сложно определить, к каким пользователям был доступ или попытка получить доступ к компьютерам организации.

Блокировка учетной записи

Эта подкатегория сообщает, когда учетная запись пользователя заблокирована в результате слишком большого количества неудачных попыток входа.

Быстрый режим IPsec

Эта подкатегория сообщает результаты протокола IKE и AuthIP во время переговоров в режиме быстрого режима.

Специальный вход

Этот подкатегорий сообщает, когда используется специальный вход. Специальный вход — это вход с эквивалентными правами администратора и может использоваться для повышения уровня процесса.

Изменение политики

Изменение политики аудита

Эта подкатегория сообщает об изменениях в политике аудита, включая изменения SACL.

Изменение политики проверки подлинности

Эта подкатегория сообщает об изменениях в политике проверки подлинности.

Изменение политики авторизации

Эта подкатегория сообщает об изменениях в политике авторизации, включая изменения разрешений (DACL).

Изменение политики уровня правил MPSSVC

Эта подкатегория сообщает об изменениях в правилах политики, используемых службой защиты Майкрософт (MPSSVC.exe). Эта служба используется брандмауэром Windows.

Изменение политики платформы фильтрации

Эта подкатегория сообщает о добавлении и удалении объектов из МПП, включая фильтры запуска. Эти события могут быть очень большими в томе.

Другие события изменения политики

Эта подкатегория сообщает о других типах изменений политики безопасности, таких как конфигурация доверенного платформенного модуля (TPM) или поставщиков шифрования.

Использование привилегий

Использование привилегий охватывает как конфиденциальные, так и нечувствительные привилегии.

Использование конфиденциальных привилегий

Эта подкатегория сообщает, когда учетная запись пользователя или служба использует конфиденциальные привилегии. Конфиденциальные привилегии включают следующие права пользователя:

• Работа в режиме операционной системы
• Архивация файлов и каталогов
• Создание объекта токена, отладочных программ
• Разрешение доверия к учетным записям компьютеров и пользователей при делегировании
• Создание аудита безопасности, олицетворения клиента после проверки подлинности
• Загрузка и выгрузка драйверов устройств
• Управление журналом аудита и безопасности
• Изменение параметров среды изготовителя
• Замена маркера уровня процесса, восстановление файлов и каталогов
• Возьмите на себя владение файлами или другими объектами.

Аудит этой подкатегории создаст большой объем событий.

Использование нечувствительных привилегий

Эта подкатегория сообщает, когда учетная запись пользователя или служба использует нечувствительные привилегии. Нечувствительная привилегия включает следующие права пользователя:

• Доступ к диспетчеру учетных данных от имени доверенного вызывающего
• Доступ к этому компьютеру из сети
• Добавление рабочих станций к домену
• Настройка квот памяти для процесса
• Локальный вход в систему
• Разрешить вход в систему через службу удаленных рабочих столов
• Обход перекрестной проверки
• Изменение системного времени
• Создание файла подкачки
• Создание глобальных объектов
• Создание постоянных общих объектов
• Создание символических ссылок
• Запрет доступа к этому компьютеру из сети
• Отказ во входе в качестве пакетного задания
• Отказать во входе в качестве службы
• Запретить локальный вход
• Запретить вход в систему через службу удаленных рабочих столов
• Принудительное удаленное завершение работы
• Увеличение рабочего набора процесса
• Увеличение приоритета выполнения
• Блокировка страниц в памяти
• Вход в качестве пакетного задания
• Вход в систему в качестве службы.
• Изменение метки объекта
• Выполнение задач по обслуживанию томов
• Профилирование одного процесса
• Профилирование производительности системы
• Отключение компьютера от стыковочного узла
• Завершение работы системы
• Синхронизация данных службы каталогов.

Аудит этой подкатегории создаст очень большой объем событий.

Другие события использования привилегий

Этот параметр политики безопасности в настоящее время не используется.

Доступ к объектам

Категория "Доступ к объектам" включает в себя подкатегории файловой системы и реестра.

Файловая система

Эта подкатегория сообщает о доступе к объектам файловой системы. Только объекты файловой системы с SACLs вызывают создание событий аудита и только при доступе к ним в соответствии с записями SACL. По себе этот параметр политики не приводит к аудиту каких-либо событий. Он определяет, следует ли проверять событие пользователя, который обращается к объекту файловой системы с указанным списком управления доступом системы (SACL), эффективно позволяя выполнять аудит.

Если параметр доступа к объекту аудита настроен на Success, запись аудита создается каждый раз, когда пользователь успешно обращается к объекту с указанным saCL. Если этот параметр политики настроен на сбой, запись аудита создается каждый раз, когда пользователь не сможет получить доступ к объекту с указанным SACL.

Реестр

Эта подкатегория сообщает о доступе к объектам реестра. Только объекты реестра с SACLs вызывают создание событий аудита и только в том случае, если доступ к ним выполняется в соответствии с записями SACL. По себе этот параметр политики не приводит к аудиту каких-либо событий.

Объект ядра

Эта подкатегория сообщает, когда к объектам ядра, таким как процессы и мьютексы, обращаются. Только объекты ядра с SACLs вызывают создание событий аудита и только в том случае, если доступ к ним выполняется в соответствии с записями SACL. Как правило, объекты ядра предоставляются только в том случае, если включены параметры аудита AuditBaseObjects или AuditBaseDirectory.

SAM

Эта подкатегория сообщает о доступе к объектам базы данных локальной базы данных диспетчера учетных записей безопасности (SAM).

Службы сертификации

Эта подкатегория сообщает о выполнении операций служб сертификации.

Создано приложение

Эта подкатегория сообщает, когда приложения пытаются создавать события аудита с помощью интерфейсов программирования приложений Windows .

Обработка манипуляций

Эта подкатегория сообщает, когда дескриптор объекта открыт или закрыт. Только объекты с SACCl вызывают создание этих событий и только в том случае, если попытка обработки соответствует записям SACL. События обработки обработки создаются только для типов объектов, в которых включена соответствующая подкатегория доступа к объекту (например, файловая система или реестр).

Общая папка

Эта подкатегория сообщает о доступе к общей папке. По себе этот параметр политики не приводит к аудиту каких-либо событий. Он определяет, следует ли проверять событие пользователя, который обращается к объекту общей папки с указанным системным списком управления доступом (SACL), эффективно позволяя выполнять аудит.

Фильтрация удаления пакетов платформы

Эта подкатегория сообщает, когда пакеты удаляются платформой фильтрации Windows (МПП). Эти события могут быть очень большими в томе.

Фильтрация Подключение платформы

Эта подкатегория сообщает, когда подключения разрешены или заблокированы МПП. Эти события могут быть большими в томе.

Другие события доступа к объектам

Эта подкатегория сообщает о других событиях, связанных с доступом к объектам, таким как задания планировщика задач и объекты COM+.

Системные

Изменение состояния безопасности

Эта подкатегория сообщает об изменении состояния безопасности системы, например при запуске и остановке подсистемы безопасности.

Расширение системы безопасности

Эта подкатегория сообщает о загрузке кода расширения, например пакетов проверки подлинности подсистемой безопасности.

Целостность системы

Эта подкатегория сообщает о нарушениях целостности подсистемы безопасности.

Драйвер IPsec

Эта подкатегория сообщает о действиях драйвера безопасности протокола Интернета (IPsec).

Другие системные события

Эта подкатегория сообщает о других системных событиях.

Дополнительные сведения об описаниях подкатегории см. в средстве Microsoft Security Compliance Manager.

Каждая организация должна просмотреть предыдущие категории и подкатегории и включить те, которые лучше всего соответствуют их среде. Изменения политики аудита всегда должны проверяться перед развертыванием в рабочей среде.

Настройка политики аудита Windows

Политику аудита Windows можно задать с помощью групповых политик, auditpol.exe, API или редактирования реестра. Рекомендуемые методы настройки политики аудита для большинства компаний являются групповой политикой или auditpol.exe. Для настройки политики аудита системы требуются разрешения учетной записи уровня администратора или соответствующие делегированные разрешения.

Примечание.

Для изменения параметров аудита и аудита отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра, должны быть предоставлены субъекты безопасности (Администратор istrator).

Настройка политики аудита Windows с помощью групповой политики

Чтобы настроить политику аудита с помощью групповых политик, настройте соответствующие категории аудита, расположенные в разделе "Конфигурация компьютера\Windows Параметры\Безопасность Параметры\Локальные политики\Аудит" (см. следующий снимок экрана: редактор локальных групповых политик (gpedit.msc)). Каждая категория политики аудита может быть включена для событий успешного выполнения, сбоя или сбоя.

Расширенная политика аудита может быть задана с помощью Active Directory или локальных групповых политик. Чтобы задать расширенную политику аудита, настройте соответствующие подкатегории, расположенные в разделе "Конфигурация компьютера\Windows Параметры\Безопасность Параметры\Расширенная политика аудита" (см. следующий снимок экрана: редактор локальных групповых политик (gpedit.msc)). Каждая подкатегория политики аудита может быть включена для событий успешности, сбоя или сбоя.

Настройка политики аудита Windows с помощью Auditpol.exe

Auditpol.exe (для настройки политики аудита Windows) появилась в Windows Server 2008 и Windows Vista. Изначально для установки расширенной политики аудита можно использовать только auditpol.exe, но групповая политика может использоваться в Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008, Windows 8 и Windows 7.

Auditpol.exe — это программа командной строки. Синтаксис выглядит следующим образом:

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

примеры синтаксиса Auditpol.exe:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Примечание.

Auditpol.exe локально задает расширенную политику аудита. Если локальная политика конфликтует с Active Directory или локальной групповой политикой, параметры групповой политики обычно преобладают над параметрами auditpol.exe. При наличии нескольких конфликтов групповой или локальной политики будет преобладать только одна политика (т. е. замена). Политики аудита не будут слиянием.

Аудит сценариев

Корпорация Майкрософт предоставляет пример скрипта для администраторов, которые хотят задать расширенную политику аудита с помощью скрипта, а не вводить вручную в каждой команде auditpol.exe.

Обратите внимание , что групповая политика не всегда точно сообщает о состоянии всех включенных политик аудита, в то время как auditpol.exe делает. Дополнительные сведения см. в статье "Получение эффективной политики аудита" в Windows 7 и Windows 2008 R2 .

Другие команды Auditpol

Auditpol.exe можно использовать для сохранения и восстановления локальной политики аудита и просмотра других связанных команд аудита. Ниже приведены другие команды auditpol .

auditpol /clear — используется для очистки и сброса локальных политик аудита

auditpol /backup /file:<filename> — используется для резервного копирования текущей локальной политики аудита в двоичный файл

auditpol /restore /file:<filename> — используется для импорта ранее сохраненного файла политики аудита в локальную политику аудита.

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> — Если этот параметр политики аудита включен, система немедленно останавливается (с сообщением STOP: C0000244 {Audit Failed}), если аудит не может быть зарегистрирован по какой-либо причине. Как правило, событие не регистрируется, если журнал аудита безопасности заполнен, а метод хранения, указанный для журнала безопасности, — "Не перезаписать события " или "Перезаписать события по дням". Обычно эта политика включена только в средах, которым требуется более высокая уверенность в том, что журнал безопасности регистрируется. Если этот параметр включен, администраторы должны внимательно следить за размером журнала безопасности и повернуть журналы по мере необходимости. Кроме того, его можно задать с помощью групповой политики, изменив параметр безопасности Audit: немедленно завершить работу системы, если не удается выполнить журнал аудита безопасности (по умолчанию=отключен).

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> — Этот параметр политики аудита определяет, следует ли проверять доступ к глобальным системным объектам. Если эта политика включена, это приводит к созданию системных объектов, таких как мьютексы, события, семафоры и устройства DOS с помощью списка управления доступом по умолчанию (SACL). Большинство администраторов считают аудит глобальных системных объектов слишком "шумным", и они будут включать его только в том случае, если злоумышленники подозреваются в взломах. Только именованные объекты получают saCL. Если политика аудита доступа к объекту аудита (или подкатегория аудита объекта ядра) также включена, доступ к этим системным объектам выполняется аудит. При настройке этого параметра безопасности изменение не вступит в силу, пока не перезапустите Windows. Эту политику также можно задать с помощью групповой политики, изменив параметр безопасности аудит доступа к глобальным системным объектам (по умолчанию=отключен).

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> — Этот параметр политики аудита указывает, что именованные объекты ядра (например, мьютексы и семафоры) должны быть предоставлены при создании SACCl. AuditBaseDirectory влияет на объекты контейнеров, а AuditBaseObjects влияет на объекты, которые не могут содержать другие объекты.

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> — Этот параметр политики аудита указывает, создает ли клиент событие, когда одному или нескольким из следующих привилегий назначен маркер безопасности пользователя:

• AssignPrimaryTokenPrivilege
• AuditPrivilege
• BackupPrivilege
• CreateTokenPrivilege
• DebugPrivilege
• EnableDelegationPrivilege
• ОлицетворенияPrivilege
• LoadDriverPrivilege
• RestorePrivilege
• SecurityPrivilege
• SystemEnvironmentPrivilege
• TakeOwnershipPrivilege
• TcbPrivilege.

Если этот параметр не включен (default=Disabled), права BackupPrivilege и RestorePrivilege не записываются. Включение этого параметра может сделать журнал безопасности чрезвычайно шумным (иногда сотни событий в секунду) во время операции резервного копирования. Эту политику также можно задать с помощью групповой политики, изменив параметр безопасности Audit: аудит использования привилегий резервного копирования и восстановления.

Примечание.

Некоторые сведения, предоставленные здесь, взяты из типа параметра аудита Майкрософт и средства Microsoft SCM.

Применение традиционного аудита или расширенного аудита

В Windows Server 2012 Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 и Windows Vista администраторы могут включить девять традиционных категорий или использовать подкатегории. Это двоичный выбор, который должен быть сделан в каждой системе Windows. Можно включить основные категории или подкатегории; это не может быть и то, и другое.

Чтобы запретить устаревшую традиционную политику категории перезаписывать подкатегории политики аудита, необходимо включить параметры подкатегории политики аудита (Windows Vista или более поздней версии), чтобы переопределить параметр политики категории аудита, расположенный в разделе "Конфигурация компьютера\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности".

Рекомендуется включить и настроить подкатегории вместо девяти основных категорий. Для этого необходимо включить параметр групповой политики (разрешить подкатегорию переопределять категории аудита) вместе с настройкой различных подкатегорий, поддерживающих политики аудита.

Аудит подкатегорий можно настроить с помощью нескольких методов, включая групповую политику и программу командной строки, auditpol.exe.

Следующие шаги

• Аудит и соответствие требованиям в Windows Server 2008

• Как использовать групповую политику для настройки подробных параметров аудита безопасности для компьютеров под управлением Windows Vista и Windows Server 2008 в домене Windows Server 2008, в домене Windows Server 2003 или в домене Windows 2000

• Пошаговое руководство по политике расширенного аудита безопасности