- Advanced security audit policy settings
- Account Logon
- Account Management
- Detailed Tracking
- DS Access
- Logon/Logoff
- Object Access
- Policy Change
- Privilege Use
- System
- Global Object Access Auditing
- Параметры расширенной политики аудита безопасности Advanced security audit policy settings
- Создание аудитов безопасности Generate security audits
- Справочные материалы Reference
- Возможные значения Possible values
- Рекомендации Best practices
- Location Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Групповая политика Group Policy
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Возможное влияние Potential impact
Advanced security audit policy settings
Applies to
This reference for IT professionals provides information about the advanced audit policy settings that are available in Windows and the audit events that they generate.
The security audit policy settings under Security Settings\Advanced Audit Policy Configuration can help your organization audit compliance with important business-related and security-related rules by tracking precisely defined activities, such as:
- A group administrator has modified settings or data on servers that contain finance information.
- An employee within a defined group has accessed an important file.
- The correct system access control list (SACL) is applied to every file and folder or registry key on a computer or file share as a verifiable safeguard against undetected access.
You can access these audit policy settings through the Local Security Policy snap-in (secpol.msc) on the local computer or by using Group Policy.
These advanced audit policy settings allow you to select only the behaviors that you want to monitor. You can exclude audit results for behaviors that are of little or no concern to you, or behaviors that create an excessive number of log entries. In addition, because security audit policies can be applied by using domain Group Policy Objects, audit policy settings can be modified, tested, and deployed to selected users and groups with relative simplicity. Audit policy settings under Security Settings\Advanced Audit Policy Configuration are available in the following categories:
Account Logon
Configuring policy settings in this category can help you document attempts to authenticate account data on a domain controller or on a local Security Accounts Manager (SAM). Unlike Logon and Logoff policy settings and events, which track attempts to access a particular computer, settings and events in this category focus on the account database that is used. This category includes the following subcategories:
Account Management
The security audit policy settings in this category can be used to monitor changes to user and computer accounts and groups. This category includes the following subcategories:
Detailed Tracking
Detailed Tracking security policy settings and audit events can be used to monitor the activities of individual applications and users on that computer, and to understand how a computer is being used. This category includes the following subcategories:
DS Access
DS Access security audit policy settings provide a detailed audit trail of attempts to access and modify objects in Active Directory Domain Services (ADВ DS). These audit events are logged only on domain controllers. This category includes the following subcategories:
Logon/Logoff
Logon/Logoff security policy settings and audit events allow you to track attempts to log on to a computer interactively or over a network. These events are particularly useful for tracking user activity and identifying potential attacks on network resources. This category includes the following subcategories:
Object Access
Object Access policy settings and audit events allow you to track attempts to access specific objects or types of objects on a network or computer. To audit attempts to access a file, directory, registry key, or any other object, you must enable the appropriate Object Access auditing subcategory for success and/or failure events. For example, the file system subcategory needs to be enabled to audit file operations, and the Registry subcategory needs to be enabled to audit registry accesses.
Proving that these audit policies are in effect to an external auditor is more difficult. There is no easy way to verify that the proper SACLs are set on all inherited objects. To address this issue, see Global Object Access Auditing.
This category includes the following subcategories:
Policy Change
Policy Change audit events allow you to track changes to important security policies on a local system or network. Because policies are typically established by administrators to help secure network resources, monitoring changes or attempts to change these policies can be an important aspect of security management for a network. This category includes the following subcategories:
Privilege Use
Permissions on a network are granted for users or computers to complete defined tasks. Privilege Use security policy settings and audit events allow you to track the use of certain permissions on one or more systems. This category includes the following subcategories:
System
System security policy settings and audit events allow you to track system-level changes to a computer that are not included in other categories and that have potential security implications. This category includes the following subcategories:
Global Object Access Auditing
Global Object Access Auditing policy settings allow administrators to define computer system access control lists (SACLs) per object type for the file system or for the registry. The specified SACL is then automatically applied to every object of that type. Auditors will be able to prove that every resource in the system is protected by an audit policy by viewing the contents of the Global Object Access Auditing policy settings. For example, if auditors see a policy setting called «Track all changes made by group administrators,» they know that this policy is in effect.
Resource SACLs are also useful for diagnostic scenarios. For example, setting the Global Object Access Auditing policy to log all the activity for a specific user and enabling the policy to track «Access denied» events for the file system or registry can help administrators quickly identify which object in a system is denying a user access.
If a file or folder SACL and a Global Object Access Auditing policy setting (or a single registry setting SACL and a Global Object Access Auditing policy setting) are configured on a computer, the effective SACL is derived from combining the file or folder SACL and the Global Object Access Auditing policy. This means that an audit event is generated if an activity matches the file or folder SACL or the Global Object Access Auditing policy.
This category includes the following subcategories:
Параметры расширенной политики аудита безопасности Advanced security audit policy settings
Область применения Applies to
Предоставляет сведения о расширенных параметрах политики аудита безопасности, доступных в Windows, и событиях аудита, которые они создают. Provides information about the advanced security audit policy settings that are available in Windows and the audit events that they generate.
Параметры политики аудита безопасности в параметрах безопасности\Advanced Audit Policy Configuration могут помочь организации в аудите соответствия важным бизнес-правилам и правилам, связанным с безопасностью, путем отслеживания точно определенных действий, например: The security audit policy settings under Security Settings\Advanced Audit Policy Configuration can help your organization audit compliance with important business-related and security-related rules by tracking precisely defined activities, such as:
- Администратор группы изменил параметры или данные на серверах, содержащих финансовую информацию. A group administrator has modified settings or data on servers that contain finance information.
- Сотрудник в определенной группе получил доступ к важному файлу. An employee within a defined group has accessed an important file.
- Правильный список управления доступом к системе (SACL) применяется к каждому файлу, папке или разделу реестра на компьютере или в файловом папке в качестве проверяемой защиты от незащищенного доступа. The correct system access control list (SACL) is applied to every file and folder or registry key on a computer or file share as a verifiable safeguard against undetected access.
Доступ к этим настройкам политики аудита можно получить с помощью оснастки «Локализованная политика безопасности» (secpol.msc) на локальном устройстве или с помощью групповой политики. You can access these audit policy settings through the Local Security Policy snap-in (secpol.msc) on the local device or by using Group Policy.
Эти параметры политики «Расширенный аудит» позволяют выбирать только поведение, которое требуется отслеживать. These Advanced Audit policy settings allow you to select only the behaviors that you want to monitor. Вы можете исключить результаты аудита для поведения, которое вас мало беспокоит, или поведения, создающее чрезмерное количество записей журнала. You can exclude audit results for behaviors that are of little or no concern to you, or behaviors that create an excessive number of log entries. Кроме того, поскольку политики аудита безопасности можно применять с помощью объектов групповой политики домена, параметры политики аудита можно изменять, тестировать и развертывать для выбранных пользователей и групп с относительной простотой. In addition, because security audit policies can be applied by using domain Group Policy Objects, audit policy settings can be modified, tested, and deployed to selected users and groups with relative simplicity.
Создание аудитов безопасности Generate security audits
Область применения Applies to
В этой статье описываются лучшие методики, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности «Создание аудита безопасности». Describes the best practices, location, values, policy management, and security considerations for the Generate security audits security policy setting.
Справочные материалы Reference
Этот параметр политики определяет, какие учетные записи могут использоваться процессом для создания записей аудита в журнале событий безопасности. This policy setting determines which accounts can be used by a process to generate audit records in the security event log. Служба подсистемы локального органа безопасности (LSASS) записывает события в журнал. The Local Security Authority Subsystem Service (LSASS) writes events to the log. Сведения в журнале событий безопасности можно использовать для трассировки несанкционированного доступа к устройству. You can use the information in the security event log to trace unauthorized device access.
Константа: SeAuditPrivilege Constant: SeAuditPrivilege
Возможные значения Possible values
- Определяемый пользователей список учетных записей User-defined list of accounts
- Локализованная служба Local Service
- Сетовая служба Network Service
Рекомендации Best practices
- Так как журнал аудита потенциально может быть вектором атаки при компрометации учетной записи, убедитесь, что только учетные записи локальной и сетевой служб имеют право на создание аудитов безопасности, которые им назначены. **** Because the audit log can potentially be an attack vector if an account is compromised, ensure that only the Local Service and Network Service accounts have the Generate security audits user right assigned to them.
Location Location
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Значения по умолчанию Default values
По умолчанию этот параметр имеет значение Local Service and Network Service на контроллерах домена и автономных серверах. By default, this setting is Local Service and Network Service on domain controllers and stand-alone servers.
В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Локализованная служба Local Service Сетовая служба Network Service |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Локализованная служба Local Service Сетовая служба Network Service |
| Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings | Локализованная служба Local Service Сетовая служба Network Service |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Локализованная служба Local Service Сетовая служба Network Service |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Локализованная служба Local Service Сетовая служба Network Service |
Управление политикой Policy management
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.
Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
Неправильное использование этого права пользователя может привести к генерации многих событий аудита, потенциально скрывая признаки атаки или вызывая отказ в обслуживании (DoS), если аудит: немедленное завершение работы системы, если не удается занося в журнал параметр политики безопасности аудита безопасности. Misuse of this user right can result in the generation of many auditing events, potentially hiding evidence of an attack or causing a denial-of-service (DoS) if the Audit: Shut down system immediately if unable to log security audits security policy setting is enabled.
Групповая политика Group Policy
Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:
- Параметры локальной политики Local policy settings
- Параметры политики сайта Site policy settings
- Параметры политики домена Domain policy settings
- Параметры политики подразделения OU policy settings
Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Злоумышленник может использовать учетные записи, которые могут записываться в журнал безопасности, чтобы заполнить этот журнал бессмысленными событиями. A malicious user could use accounts that can write to the Security log to fill that log with meaningless events. Если компьютер настроен для перезаписи событий по мере необходимости, злоумышленники могут использовать этот метод, чтобы удалить признаки своих несанкционированных действий. If the computer is configured to overwrite events as needed, malicious users could use this method to remove evidence of their unauthorized activities. Если компьютер настроен на завершение работы, когда не удается записать данные в журнал безопасности и не настроен на автоматическое создание архива файлов журнала, этот метод можно использовать для создания условия DoS. If the computer is configured to shut down when it is unable to write to the Security log, and it is not configured to automatically back up the log files, this method could be used to create a DoS condition.
Противодействие Countermeasure
Убедитесь, что только учетные записи **** локальных и сетевых служб имеют право на создание аудитов безопасности, которые им назначены. Ensure that only the Local Service and Network Service accounts have the Generate security audits user right assigned to them.
Возможное влияние Potential impact
Нет. None. Настройка по умолчанию ограничивает права пользователя «Создание аудитов безопасности» на учетные записи локальной службы и сетевой службы. Restricting the Generate security audits user right to the Local Service and Network Service accounts is the default configuration.
