Аудит безопасности Microsoft Windows, как отключить
Обновлено: 21.11.2024
Аудит безопасности — это систематический мониторинг безопасности информационной системы компании путем измерения ее соответствия набору установленных критериев. Аудит безопасности Windows — это функция Windows, которая помогает поддерживать безопасность на компьютере и в корпоративных сетях. Аудит Windows предназначен для отслеживания действий пользователей, проведения криминалистического анализа и расследования инцидентов, а также устранения неполадок. Аудит безопасности позволяет внедрить политики безопасности в вашей среде в соответствии с корпоративными, государственными или отраслевыми требованиями.
Как настроить аудит безопасности Windows?
Как проводить аудит событий входа в систему?
Аудит безопасности Windows позволяет отслеживать входы пользователей в систему и недопустимые попытки входа в систему. Windows генерирует эти события не только при физическом входе пользователя в систему, но даже при доступе к общему ресурсу с удаленного компьютера. Аудит событий входа помогает администратору или исследователю отслеживать действия пользователей и обнаруживать потенциальные атаки.
Чтобы регистрировать события входа в систему, запустите локальную политику безопасности. Откройте ветку «Локальные политики» и выберите «Политика аудита». Дважды щелкните «Аудит событий входа в систему» и включите параметры «Успех» и «Сбой». После этого все входы пользователей в систему и недействительные попытки входа будут регистрироваться в журнале событий безопасности.
Идентификатор события | Сообщение о событии |
---|---|
4624 | Учетная запись успешно зарегистрирована | < /tr>
4625 | Ошибка входа в учетную запись |
4648 | Попытка входа в систему с использованием явные учетные данные |
4675 | SID были отфильтрованы |
Как проводить аудит событий доступа к файлам?
Аудит безопасности Windows позволяет контролировать доступ к объекту, например файл, папка, раздел реестра и другие системные объекты, имеющие системный список управления доступом (SACL). Для системного администратора важной задачей является организация аудита файловых серверов, но может быть целесообразным проводить аудит не только файловых серверов. Аудит событий входа в систему помогает администратору или исследователю проверять действия пользователей, обнаруживать попытки несанкционированного доступа к файлам и предотвращать неправильную настройку программного обеспечения.
Чтобы регистрировать события доступа к файлам, запустите локальную политику безопасности. Откройте ветку «Локальные политики» и выберите «Политика аудита». Дважды щелкните «Аудит доступа к объекту» и включите параметры «Успех» и «Сбой». Это позволяет осуществлять общесистемный аудит доступа к объектам. Теперь нам нужно выбрать файловые объекты, которые вызовут это событие. Откройте проводник Windows и найдите нужный файл или папку. Щелкните правой кнопкой мыши по этому объекту и выберите Свойства. Перейдите на вкладку «Безопасность» и нажмите кнопку «Дополнительно». Перейдите на вкладку «Аудит» в окне «Дополнительные параметры безопасности». Нажмите кнопку «Продолжить». Теперь вы можете задать имена пользователей или групп, чей доступ вы хотите проверять (вы можете выбрать всех для всех пользователей) и какой тип доступа к файлу будет проверяться. Начиная с Windows 2008 R2/Windows 7, вы можете использовать более гибкие настройки политики аудита доступа к объектам/файлам.
Один из самых простых способов мониторинга производительности и безопасности ПК или сервера с Windows также является одним из самых недооцененных. Прежде чем тратить сотни или тысячи долларов на инструменты для мониторинга производительности или безопасности вашей системы, обязательно ознакомьтесь с функциями, встроенными непосредственно в Windows.
Когда с компьютером возникают проблемы или он начинает вести себя странно, одним из первых мест, где вы должны начать устранение неполадок, является средство просмотра событий. Вы можете найти его в Панели управления в разделе «Администрирование». Средство просмотра событий ведет журнал информации, оповещений и предупреждений о вашей компьютерной системе, а также программах и службах, запущенных на ней.
Просмотр событий имеет три вкладки: Приложение, Система и Безопасность. Однако в Windows XP вы не найдете никаких записей на вкладке «Безопасность», если вы сначала не включите аудит безопасности. Функциональность есть, но Microsoft не включает ее по умолчанию.
Чтобы просмотреть имеющиеся у вас параметры аудита безопасности и ведения журнала, а также включить или отключить их, перейдите в Панель управления -> Администрирование -> Локальная политика безопасности. Когда откроется окно консоли «Локальные параметры безопасности», нажмите «Локальные политики», затем «Политика аудита». Вы увидите следующие политики, в которых вы можете включить аудит успешных или неудачных попыток или вообще отключить ведение журнала:
- Аудит событий входа в учетную запись
- Аудит управления аккаунтом
- Доступ к службе директора по аудиту
- Аудит событий входа
- Аудит доступа к объектам
- Изменение политики аудита
- Аудит использования привилегий
- Отслеживание процесса аудита
- Аудит системных событий
Вы можете щелкнуть правой кнопкой мыши любую из этих политик в консоли «Локальные параметры безопасности» и выбрать «Справка», чтобы получить дополнительные сведения о том, какие действия будут проверяться политикой. Хотя в некоторых случаях может иметь смысл включить аудит как успешных, так и неудачных попыток для всех политик, аудит и регистрация каждого действия, происходящего на компьютере, может потреблять огромное количество памяти и вычислительной мощности, а данные журнала быстро заполняются. занимает большой кусок места на жестком диске. Лучше провести некоторое исследование относительно того, что отслеживают различные политики аудита, и создать план аудита и ведения журналов, который лучше всего подходит для ситуации с точки зрения баланса между необходимостью аудита безопасности и потребностью в максимальной производительности системы.
Еще один аспект, который следует учитывать при составлении плана аудита безопасности, — определить, как журналы будут храниться на жестком диске и что делать, если журнал будет заполнен до отказа. Если вы откроете средство просмотра событий, щелкните правой кнопкой мыши Безопасность и выберите Свойства, вы сможете настроить параметры размера журнала.
Во-первых, вы можете установить максимальный размер того, сколько места на жестком диске могут занимать журналы. Ниже вы можете выбрать, перезаписывать ли существующие события по мере необходимости, когда журнал заполняется, или автоматически перезаписывать записи журнала, которые старше указанного вами количества дней, или что перезапись или удаление записей журнала не разрешено, кроме как с помощью ручного вмешательства со стороны Администратор.
Для обеспечения максимальной безопасности и обеспечения того, чтобы ни одно событие безопасности не могло произойти без регистрации в журнале, существует также параметр политики, определяющий, что должен делать компьютер, если журнал действительно становится слишком полным. По умолчанию он не настроен, но вы можете заставить компьютер автоматически выключаться, а не продолжать работу без возможности регистрации событий безопасности. В консоли «Локальные параметры безопасности» в разделе «Локальные политики» нажмите «Параметры безопасности». Вы можете щелкнуть политику Аудит: немедленное выключение системы, если не удается зарегистрировать аудит безопасности и включить ее, если вы хотите убедиться, что компьютер выключается, если он по какой-либо причине не может регистрировать события безопасности.
EminentX
- отметить 26 лучших ответов
- thumb_up – 69 благодарных отзывов
- format_list_bulleted 2 Инструкции
Защитите свои конечные точки от киберпреступников
2022-03-24 14:00:00 UTC Веб-семинар Веб-семинар: Cisco — защитите свои конечные точки от кибер-преступников Подробности о событии Просмотреть все события
21 ответ
Только системные учетные записи могут управлять настройками журнала событий. Измените настройки в локальной групповой политике.
ОП EminentX
- отметить 26 лучших ответов
- thumb_up – 69 благодарных отзывов
- format_list_bulleted 2 Инструкции
Спасибо, Фессор. Не могли бы вы сказать мне, какую политику следует изменить в локальной групповой политике?
jrp78
- отметить 69 лучших ответов
- thumb_up – 247 благодарных отзывов
- format_list_bulleted 1 Инструкции
Вы пытаетесь отфильтровать определенные события безопасности или все сразу?
Просматривая документацию по аудитполу, я вижу, что "/category:*" является опцией. Просто интересно, может ли использование «*» вместо этих конкретных категорий достичь того, что вам нужно?
ОП EminentX
- отметить 26 лучших ответов
- thumb_up – 69 благодарных отзывов
- format_list_bulleted 2 Инструкции
Я хочу отфильтровать их все.
Майк400
Из любопытства, почему вы хотите отключить аудит? В целом аудит помогает выявлять проблемы в системе.
- отметить 120 лучших ответов
- thumb_up: 328 благодарных отзывов
Мне также было бы интересно узнать, почему вы хотите отключить аудит — я понимаю, что вы хотите отключить телеметрию, но не аудит.
ОП EminentX
- отметить 26 лучших ответов
- thumb_up – 69 благодарных отзывов
- format_list_bulleted 2 Инструкции
Я хотел бы сделать это только для проверки, я делаю это на своей виртуальной машине, а не в реальном мире! Пожалуйста, помогите мне.
- отметить 120 лучших ответов
- thumb_up: 328 благодарных отзывов
Все равно остается вопрос - зачем, вне зависимости от того, где вы хотите это сделать, зачем вы это делаете? Это не имеет никакого смысла
ОП EminentX
- отметить 26 лучших ответов
- thumb_up – 69 благодарных отзывов
- format_list_bulleted 2 Инструкции
Дорогой друг, если у вас есть технический ответ, пожалуйста, ответьте на мой вопрос. Я бы сделал это только для теста, потому что хочу знать, сработает это или нет. Это все. Спасибо.
- отметить 120 лучших ответов
- thumb_up: 328 благодарных отзывов
Я не знаю, зачем кому-то что-то тестировать, если нет конкретной причины.
Я оставлю это другим, я не понимаю здесь логики.
дбито
Fedora пишет:
Привет, я хочу навсегда отключить аудит или ведение журнала в Windows 10, я выполнил следующие команды в командной строке, но после перезагрузки системы я вижу журналы в Event Зритель!
В чем причина отключения аудита в вашей системе? Как вы будете устранять неполадки, происходящие на ваших компьютерах и в вашем домене?
ОП EminentX
- отметить 26 лучших ответов
- thumb_up – 69 благодарных отзывов
- format_list_bulleted 2 Инструкции
Я хотел бы сделать это только для проверки, я делаю это на своей виртуальной машине, а не в реальном мире! Пожалуйста помогите. Просто помогите мне, пожалуйста, не задавайте вопросов.
- отметить 120 лучших ответов
- thumb_up: 328 благодарных отзывов
Вы думали, что это может быть невозможно?
Это не то, что я когда-либо делал и даже не рассматривал, и, поскольку вы не хотите рассказывать нам, почему вы хотите это сделать, я хочу пожелать вам удачи и отказаться.
jrp78
- отметить 69 лучших ответов
- thumb_up – 247 благодарных отзывов
- format_list_bulleted 1 Инструкции
Не уверен, что синтаксис правильный, потому что в данный момент у меня нет машины, чтобы протестировать его, но вы можете попробовать следующее.
ОП EminentX
- отметить 26 лучших ответов
- thumb_up – 69 благодарных отзывов
- format_list_bulleted 2 Инструкции
Спасибо jrp78, но я не получил результат
Попробуйте следующее, чтобы отключить аудит
Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Политика аудита
Отмените выбор параметров «Успех» и «Неудача» для всех параметров. Дайте нам знать, если это даст вам то, что вы хотите.
дбито
Это также было опубликовано здесь
ОП EminentX
- отметить 26 лучших ответов
- thumb_up – 69 благодарных отзывов
- format_list_bulleted 2 Инструкции
Вы правы. Это неправильно, если я задаю свой вопрос в разных местах?
- отметить 120 лучших ответов
- thumb_up: 328 благодарных отзывов
Вы правы. Это неправильно, если я задам свой вопрос в другом месте?
Нет, но вы получаете один и тот же ответ на нескольких сайтах.
Многие спрашивают, почему, а вы говорите, что это лаборатория, но в ней по-прежнему нет логики, и вывод остается тем же, вы не можете полностью отключить ее.
ОП EminentX
- отметить 26 лучших ответов
- thumb_up – 69 благодарных отзывов
- format_list_bulleted 2 Инструкции
Спасибо, Род, ты тоже прав, но дай мне немного послабления.Я задавал этот вопрос в Microsoft Technet и других местах, но каждый раз получал разные ответы, и это меня еще больше смущало. Если я не могу отключить его полностью, как вы сказали, мне нечего сказать. Еще раз спасибо.
- отметить 120 лучших ответов
- thumb_up: 328 благодарных отзывов
Я не знаю, что вы имеете в виду, когда говорите о том, что вам нужно немного послабить, я просто утверждаю, что все другие места, которые вы опубликовали, дали вам практически один и тот же ответ.
Я более чем счастлив помочь кому угодно и чем угодно, но нет никакой логики в том, почему вы хотите это сделать. И без причины людям трудно понять, почему это должно быть в вашем списке дел по сравнению с другими неотложными делами.
Эта тема заблокирована администратором и больше не открыта для комментариев.
Чтобы продолжить это обсуждение, задайте новый вопрос.
Эргономичное оборудование
Кто в США должен нести ответственность за предоставление эргономичного оборудования по запросу сотрудника? Это ИТ, поскольку ИТ предоставляет клавиатуры и мыши? Должен ли это быть HR, поскольку он эргономичен и несет потенциальную ответственность, если НЕ предоставляется? Должен ли это быть тот отдел.
Приветствие Xfinity (личный домашний Интернет)
Во-первых, мне больно. Я мог бы произнести речь «Он ставит передо мной задачу», как Хан в «Звездном пути 2: Гнев Хана». Просто замените «Они» на «Он». Но они сделали то, чего я хотел годами (десятилетиями?), так что, думаю, это должно быть признано. Ю.
Щелкни! SATCOM Threat, IE End of Life, Mac с кирпичами, Planet 9, Lego Delorean
Ваша ежедневная доза технических новостей. Вы должны это услышать. ФБР и CISA предупреждают об угрозах для сетей спутниковой связи Согласно новому предупреждению ФБР и CISA спутниковые сети находятся в зоне высокого риска. Согласно ZDNet.
Какими сверхспособностями вы хотели бы обладать?
Что может сделать ИТ-специалист со сверхспособностями? В каких ИТ-задачах вы бы их использовали и как?
Можно ли подключить интерфейс управления коммутатора к одному из его собственных портов коммутатора?
Недавно я понял, что у меня есть конфигурация коммутатора с непреднамеренным потенциальным побочным эффектом. У меня есть Aruba 6300F с несколькими виртуальными локальными сетями. Он работает в режиме уровня 3. Это работает следующим образом: я просто «включаю» функции маршрутизатора, а затем.
FileAudit использует аудит Microsoft NTFS, интегрированный во все системы Windows. Этот аудит NTFS, как и аудит доступа к объектам, можно включить в локальной политике безопасности файлового сервера Windows или в групповых политиках Microsoft. По техническим причинам FileAudit в настоящее время может автоматически включать эту политику аудита только для всех подкатегорий аудита доступа к объектам. Однако для того, чтобы FileAudit выполнил аудит, ему нужны только некоторые из них. Вы можете свести к минимуму количество событий, генерируемых в журнале событий File Server Security, внедрив конфигурацию расширенной политики аудита.
Чтобы внедрить конфигурацию расширенной политики аудита с помощью FileAudit:
- Запустите консоль локальной политики безопасности на файловом сервере, который отслеживает FileAudit.
- Перейдите к разделу «Политики аудита системы — объект локальной групповой политики» и отобразите его содержимое.
- Настройте следующие три подкатегории следующим образом:
- Аудит подробных успешных и неудачных файловых ресурсов
- Аудит успешности и неудач файловой системы
- Ошибка манипулирования обработкой аудита
Консоль настройки расширенной политики аудита
Этого также можно добиться без консоли, используя командную строку «auditpol»:
В настоящее время FileAudit не может обнаружить конфигурацию расширенной политики аудита. Вот почему при такой настройке политики аудита FileAudit предложит вам выполнить процесс проверки. Чтобы избежать этого запроса, мы рекомендуем выбрать вариант «Разрешить мне настроить аудит доступа к объекту самостоятельно» при появлении запроса.
Запрос FileAudit
Обратите внимание на следующее:
- В Windows Server 2008 и Windows Vista «Расширенную конфигурацию политики аудита» можно настроить только с помощью командной строки.
- Независимо от используемого метода, через консоль локальной политики безопасности или с помощью командной строки, установка расширенной политики аудита перезапишет политику аудита по умолчанию.
Другие связанные вопросы
Не можете найти ответ?
Если вы не можете решить свою проблему, несмотря на информацию, доступную здесь, не стесняйтесь открыть тикет в нашу службу технической поддержки.
Поиск по темам
Поиск
Поиск в базе знаний, руководстве по началу работы и часто задаваемых вопросах.
Читайте также: