Расширенные политики аудита

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Расширенные политики аудита

Сообщение UncleFather »

В версиях рабочих станций MS Windows Vista и выше, а так же в версиях серверных ОС MS Windows 2008 и выше появилась новая возможность. Те 9 политик аудита, которые мы настраивали раньше, теперь можно конфигурировать более тонко. Причем, можно пользоваться и старыми политиками, а можно и новыми - кому что больше подходит. К тому же добавлена еще одна категория.

Теперь мы можем более тонко настраивать следующие категории:

  • Вход учетной записи (Account Logon) – аудит проверки учетных данных, службы проверки подлинности Kerberos, операций с билетами Kerberos и других события входа

  • Управление учетными записями (Account Management) – отслеживание изменений в учетных записей пользователей и компьютеров, а также информации о группах AD и членстве в них

  • Подробное отслеживание (Detailed Tracking)новая категория - аудит активности индивидуальных приложений (RPC, DPAPI)

  • Доступ к службе каталогов DS (DS Access) – расширенный аудит изменений в объектах службы Active Directory Domain Services (AD DS)

  • Вход/выход (Logon/Logoff) – аудит интерактивных и сетевых попыток входа на компьютеры и сервера домена, а также блокировок учетных записей

  • Доступ к объектам (Object Access) – аудит доступа к различным объектам (ядру, файловой системе и общим папкам, реестру, службам сертификации и т.д.)

  • Изменение политики (Policy Change) – аудит изменений в групповых политиках

  • Использование прав (Privilege Use) — аудит прав доступа к различным категориям данных

  • Система (System) – изменения в настройках компьютеров, потенциально критичных с точки зрения безопасности

  • Аудит доступа к глобальным объектам (Global Object AccessAuditing) – позволяют администратору создать собственное списки ACL, отслеживающие изменения в реестре и файловой системой на всех интересующих объектах

Старые политики:Политика "Локальный компьютер"» -> «Конфигурация компьютера» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Локальные политики» -> «Политика аудита»)

01.jpg

Новые (расширенные) политики (с подкатегориями):Политика "Локальный компьютер"» -> «Конфигурация компьютера» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Конфигурация расширенной политики аудита» -> «Политики аудита системы - Объект локальной групповой политики»)

02.jpg

Для того, чтобы новые «Расширенные политики аудита» начали действовать, нужно в редакторе групповой политики «Политика "Локальный компьютер"» -> «Конфигурация компьютера» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Локальные политики» -> «Политика аудита» -> «Параметры безопасности» включить параметр «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (ОС Windows Vista или более поздние версии)», иначе будут продолжать действовать старые, стандартные политики аудита:

02.jpg
03.jpg

Примечание: Параметру политик «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (ОС Windows Vista или более поздние версии)» соответствует ключ реестра SCENoApplyLegacyAuditPolicy.

В руководстве написано, что события Расширенных политик аудита пишутся в отдельный журнал Microsoft-Windows-Audit; при этом журнал Security больше не пополняется новыми событиями аудита – прежняя система аудита отключается полностью. Чтобы увидеть журнал Microsoft-Windows-Audit, надо в меню «Вид» включить опцию «Отобразить аналитический и отладочный журнал»:

05.JPG

Лично у меня, при проверке на нескольких компьютерах с ОС MS Windows 8.1 Professional, события продолжали писаться в обычный журнал Безопасность, а в новом журнале Microsoft-Windows-Audit было пусто.

Кроме того, если компьютер с ОС MS Windows 8.1 Professional входил в домен MS Windows 2003, то расширенные политики вообще не хотели применяться на этом компьютере. Состояние его политик аудита оставалось таким же, как при применении стандартных политик.

Для просмотра текущего состояния расширенных политик аудита (даже если они не настроены в оснастке «Групповые политики»), можно пользоваться (естественно, от имени администратора) командой auditpol.

Например, для того, чтобы получить весь список доступных категорий и подкатегорий расширенных политик аудита используем команду:

Код: Выделить всё

auditpol /list /subcategory:*

А для того, чтобы отобразить текущую политику для всех подкатегорий, выполняем:

Код: Выделить всё

auditpol /get /category:*

Для того, чтобы отключить расширенную политику УСПЕХА «Подключение платформы фильтрации», выполняем:

Код: Выделить всё

AUDITPOL /SET /SUBCATEGORY:"Подключение платформы фильтрации" /SUCCESS:DISABLE

А для отключения расширенной политики успеха УСПЕХА «Съемные носители», выполняем:

Код: Выделить всё

AUDITPOL /SET /SUBCATEGORY:"Съемные носители" /SUCCESS:DISABLE

Для того, чтобы выполнить экспорт всех настроек аудита текущей расширенной политики, выполняем команду:

Код: Выделить всё

auditpol /backup /file:c:\Soft\auditpol.txt

Примечание: Полученный файл хранится в формате «текст, разделенный запятыми», поэтому, в случае, когда в названии политик встречаются запятые, их нужно заменить на точки для того, чтобы полученный файл мог удачно импортироваться.

Для импорта расширенных политик из файла выполняем:

Код: Выделить всё

auditpol /restore /file:c:\Soft\auditpol.txt

Чтобы отключить «Расширенные политики аудита» и включить обратно стандартные политики, нужно:

  1. Установить все Расширенные политики аудита в состояние «Не настроено»

  2. Установить параметр «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (ОС Windows Vista или более поздние версии)» в состояние «Не настроено»

  3. Из папки %SYSVOL% контроллеров доменов удалить все файлы audit.csv

  4. Обязательно заново переконфигурировать и применить обычные политики аудита

В следующих статьях можно найти дополнительную информацию о настройке расширенных политик аудита:

При развертывании политики домена параметры аудита безопасности не применяются на клиентских компьютерах с системой Windows Vista

Пошаговое руководство по расширенной политике аудита безопасности

Auditpol

Использование групповой политики для настройки подробных параметров аудита безопасности на клиентских компьютерах с системой Windows Vista в домене Windows Server 2003 или домене Windows 2000

Аудит доменных служб Active Directory в Windows Server 2008 R2

Auditpol

Руководство по настройке функций безопасности сертифицированной версии Microsoft Windows Server 2008 в редакциях Standard, Enterprise и Datacenter:

Кроме этого, можно просто в поисковике задать запрос расширенные политики аудита windows :wink:


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение