Какие события проверяются в ОС Windows
Обновлено: 23.11.2024
Это исчерпывающее руководство по аудиту Windows и настройкам политик безопасности.
В этом руководстве я поделюсь своими советами по настройкам политики аудита, настройкам политики паролей и учетных записей, мониторингу событий, контрольным показателям и многому другому.
Оглавление:
Что такое аудит Windows?
Политика аудита Windows определяет, какие типы событий вы хотите отслеживать в среде Windows. Например, когда учетная запись пользователя блокируется или пользователь вводит неверный пароль, эти события будут создавать запись в журнале при включении аудита. Политика аудита важна для поддержания безопасности, обнаружения инцидентов безопасности и соблюдения требований соответствия.
Использовать конфигурацию расширенной политики аудита
Посмотрев на политики аудита, вы заметите два раздела: базовую политику аудита и расширенную политику аудита. По возможности следует использовать только параметры расширенной политики аудита, расположенные в разделе «Настройки безопасности\Конфигурация расширенной политики аудита».
Расширенные параметры политики аудита были введены в Windows Server 2008, они расширили параметры политики аудита с 9 до 53. Расширенные параметры политики позволяют определить более детализированную политику аудита и регистрировать только те события, которые вам нужны. Это полезно, поскольку некоторые настройки аудита генерируют огромное количество журналов.
Важно! Не используйте одновременно базовые параметры политики аудита и дополнительные параметры, расположенные в разделе Параметры безопасности\Расширенная конфигурация политики аудита. Использование обоих может вызвать проблемы и не рекомендуется.
Microsoft предоставляет следующую информацию.
Дополнительная политика аудита имеет следующие категории. Каждая категория содержит набор политик.
- Вход в учетную запись
- Управление аккаунтом
- Подробное отслеживание
- Доступ к DS
- Вход/выход
- Доступ к объектам
- Изменение политики
- Привилегированное использование
- Система
- Аудит доступа к глобальным объектам
Рекомендуемый инструмент: Менеджер событий безопасности
Security Event Manager — это комплексное решение SIEM для сбора, хранения, анализа и создания отчетов, которое помогает ИТ-специалистам выявлять киберугрозы и реагировать на них, а также демонстрировать соответствие требованиям
Собирает, нормализует и визуализирует журналы и события из брандмауэров, устройств и приложений IDS/IPS, коммутаторов, маршрутизаторов, серверов, ОС и других приложений
Настроить политику аудита для Active Directory (для всех контроллеров домена)
По умолчанию для Active Directory настроена минимальная политика аудита. Вам потребуется изменить политику контроллера домена по умолчанию или создать новую.
Выполните следующие действия, чтобы включить политику аудита для Active Directory.
Шаг 1. Откройте консоль управления групповыми политиками
Шаг 2. Измените политику контроллеров домена по умолчанию
Щелкните правой кнопкой мыши политику и выберите изменить
Шаг 3. Перейдите к конфигурации расширенной политики аудита
Теперь перейдите к расширенной конфигурации политики аудита
Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Расширенная конфигурация политики аудита
Шаг 4. Определите настройки аудита
Теперь вам просто нужно просмотреть каждую категорию политики аудита и определить события, которые вы хотите проверить. Рекомендуемые параметры см. в разделе рекомендуемой политики аудита.
Настройка политики аудита на рабочих станциях и серверах
Настоятельно рекомендуется включить политику аудита на всех рабочих станциях и серверах. Большинство инцидентов начинаются на клиентском устройстве, и если вы не отслеживаете эти системы, вы можете упустить важную информацию.
Чтобы настроить политику аудита для рабочих станций и серверов, вам потребуется создать новую политику аудита. Это будет отдельная политика аудита от ваших контроллеров домена. Я бы не стал применять эту политику к корню домена, лучше всего разместить все свои рабочие станции и серверы в отдельной организационной единице и применить политику аудита к этому OU.
Вы можете видеть ниже, что у меня есть организационное подразделение под названием "Компьютеры ADPRO".Эта организационная единица содержит вложенные подразделения для рабочих станций отдела и серверное подразделение для всех серверов. Я создам новую политику аудита в подразделении компьютеров ADPRO, эта политика будет нацелена на все устройства в этой папке.
Настройка размера журнала событий и параметров хранения
Важно определить размер журнала событий безопасности и параметры хранения. Если эти параметры не определены, вы можете перезаписать и потерять важные данные аудита.
Важно! Журналы, созданные на серверах и рабочих станциях в соответствии с политикой аудита, предназначены для краткосрочного хранения. Чтобы вести исторические журналы аудита за недели, месяцы или годы, вам потребуется настроить централизованную систему ведения журналов. См. рекомендации в разделе ниже.
В своей политике аудита вы можете определить параметры журнала событий в разделе Конфигурация компьютера -> Политики -> Параметры безопасности -> Журнал событий
Вот рекомендуемые настройки
- Максимальный размер журнала приложения
- 4 194 240 (килобайт)
- 4 194 240 (килобайт)
- 4 194 240 (килобайт)
Даже с настроенными параметрами журнала вы все равно можете перезаписывать события за короткий промежуток времени. Все зависит от вашей политики аудита и количества пользователей. Если вы отслеживаете попытки ввода неверного пароля для 2000 пользователей, это приведет к большему количеству событий, чем для 20 пользователей.
Рекомендуемый пароль и политика блокировки учетной записи
Для успешного аудита учетных записей пользователей необходимо настроить политику блокировки паролей и учетных записей. Если вы проводите аудит блокировок аккаунтов, но не установили порог блокировки, вы никогда не увидите эти события.
Эти параметры взяты из базового документа MS Security для Windows 10 и Server 2016.
Политика паролей
Расположение объекта групповой политики: Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей
- Использовать историю паролей
- 24
- 60
- 1
- 14
- Включено
- отключено
Политика блокировки учетной записи
Расположение объекта групповой политики: Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Политики учетной записи -> Политика блокировки учетной записи
- Длительность блокировки аккаунта
- 15
- 10
- 15
Рекомендуемые настройки политики аудита
Эти параметры взяты из базового документа MS Security для Windows 10 и Server 2016.
Рекомендуемые параметры политики безопасности и аудита контроллера домена.
Расположение политики GPO: Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Расширенная конфигурация политики аудита
Вход в учетную запись
- Аудит проверки учетных данных
- Успех и неудача
- Не настроено
- Не настроено
- Не настроено
Управление аккаунтом
- Управление группой приложений аудита
- Не настроено
- Успех
- Не настроено
- Успех и неудача
- Успех и неудача
- Успех и неудача
Подробное отслеживание
- Аудит активности DPAPI
- Не настроено
- Успех
- Успех
- Не настроено
- Не настроено
- Не настроено
Доступ к DS
- Аудит подробной репликации службы каталогов
- Не настроено
- Успех и неудача
- Успех и неудача
- Не настроено
Вход/выход
- Аудит блокировки учетной записи
- Успех и неудача
- Не настроено
- Успех
- Не настроено
- Не настроено
- Успех
- Успех и неудача
- Не настроено
- Не настроено
- Успех
Доступ к объектам
- Создано приложение аудита
- Не настроено
- Не настроено
- Не настроено
- Не настроено
- Не настроено
- Не настроено
- Не настроено
- Не настроено
- Не настроено
- Не настроено
- Не настроено
- Успех и неудача
- Не настроено
- Не настроено
Изменение политики
- Аудит изменения политики аудита
- Успех и неудача
- Успех
- Успех
- Не настроено
- Не настроено
- Не настроено
Привилегированное использование
- Аудит использования неконфиденциальных привилегий
- Не настроено
- Не настроено
- Успех и неудача
Система
- Аудит драйвера IPsec
- Успех и неудача
- Успех и неудача
- Успех
- Успех и неудача
- Успех и неудача
Аудит доступа к глобальным объектам
- Файловая система
- Не настроено
- Не настроено
Я рекомендую вам загрузить набор инструментов обеспечения безопасности Microsoft. В нем есть документ Excel с рекомендуемыми настройками безопасности и аудита для Windows 10, рядовых серверов и контроллеров домена. Кроме того, в набор инструментов входят дополнительные документы и файлы, которые помогут вам применить настройки безопасности и аудита.
Централизировать журналы событий Windows
При включении политики безопасности и аудита во всех системах эти журналы событий сохраняются локально в каждой системе. Когда вам нужно расследовать инцидент или создавать отчеты об аудите, вам нужно будет просмотреть каждый журнал отдельно на каждом компьютере. Другая проблема заключается в том, что если произойдет сбой системы, и вы не сможете получить доступ к журналам?
и… не забывайте, что эти локальные журналы предназначены для краткосрочного хранения. В больших средах эти локальные журналы будут перезаписаны новыми событиями через короткий промежуток времени.
Централизация журналов сэкономит ваше время, обеспечит доступность журналов и упростит создание отчетов и устранение неполадок, связанных с безопасностью. Существует множество инструментов, которые могут централизовать журналы событий Windows.
Ниже приведен список бесплатных и платных инструментов, которые централизуют журналы событий Windows. Некоторые из бесплатных инструментов требуют некоторой работы и могут потребовать дополнительного программного обеспечения для визуализации журналов и составления отчетов. Если у вас есть бюджет, я рекомендую премиум-инструмент, его намного проще настроить и он сэкономит вам массу времени.
-
(Премиум-инструмент, 30-дневная БЕСПЛАТНАЯ пробная версия) (Бесплатно, требуются дополнительные инструменты для визуализации данных и составления отчетов) — (Премиум-инструмент) — (Премиум-инструмент, популярный инструмент для анализа различных файлов журналов) — (Бесплатная загрузка) (Бесплатная загрузка )
Отслеживать эти события на предмет компрометации
Вот список событий, которые вы должны отслеживать и сообщать о них.
- Ошибки входа в систему — идентификатор события 4624, 4771
- Успешный вход в систему — идентификатор события 4624
- Сбои из-за неверных паролей – событие с идентификатором 4625.
- Учетная запись пользователя заблокирована — событие с идентификатором 4740.
- Учетная запись пользователя разблокирована — идентификатор события 4767
- Пользователь сменил пароль — событие с идентификатором 4723.
- Пользователь добавлен в привилегированную группу — событие с идентификатором 4728, 4732, 4756
- Член добавлен в группу — идентификатор события 4728, 4732, 4756 , 4761, 4746, 4751
- Участник удален из группы — идентификатор события 4729, 4733, 4757, 4762, 4747, 4752.
- Журнал безопасности очищен – событие с идентификатором 1102.
- Вычислено удаление — событие с идентификатором 4743
Контрольные показатели политики аудита
Как узнать, применяется ли ваша политика аудита к вашим системам? Как ваша политика аудита соотносится с передовой отраслевой практикой? В этом разделе я покажу вам несколько способов аудита собственных систем.
Использование аудитпола
auditpol — это встроенная команда, которая может устанавливать и получать политику аудита в системе. Чтобы просмотреть текущий аудит, выполните эту команду на локальном компьютере
аудитпол /получить /категория:*
Вы можете сравнить эти настройки с настройками вашей групповой политики, чтобы убедиться, что все работает.
Инструментарий безопасности Майкрософт
Я упоминаю этот инструментарий в разделе рекомендуемых настроек, но стоит упомянуть его еще раз. Он содержит электронную таблицу с рекомендованными корпорацией Майкрософт настройками политики аудита и безопасности. Он также включает настройки объекта групповой политики, сценарий для установки и отчеты по объектам групповой политики. Это отличный справочный материал для сравнения вашей политики аудита с рекомендациями Microsoft.
Показатели СНГ
Эталонные тесты CIS содержат рекомендации по настройке для более чем 140 систем, включая браузеры, операционные системы и приложения.
CIS CAT Pro
CIS предоставляет инструмент, который может автоматически проверять настройки вашей системы и сравнивать их с эталонными показателями. На сегодняшний день это лучший метод проверки вашей политики аудита на соответствие отраслевым эталонам.Профессиональная версия требует членства, есть бесплатная версия с ограниченными возможностями.
Планирование политики аудита
Вот несколько советов по эффективному развертыванию политики аудита.
Определите цели аудита Windows
Не просто включите все настройки аудита, поймите общие цели безопасности вашей организации. Включение всех правил аудита может создать много шума и сделать ваши усилия по обеспечению безопасности более сложными, чем следовало бы.
Знайте свою сетевую среду
Знание вашей сети, архитектуры Active Directory, структуры организационной единицы и групп безопасности имеет основополагающее значение для правильной политики аудита. Развертывание политики аудита для определенных пользователей или объектов будет затруднено, если вы не понимаете свою среду или имеете плохую логическую группировку своих ресурсов.
Групповая политика
Лучше всего развертывать политику аудита с помощью групповой политики. Групповая политика предоставляет вам централизованное место для управления настройками аудита и развертывания их для пользователей и активов в домене.
Как вы будете получать данные о событиях
Вам нужно будет решить, как будут просматриваться данные о событиях.
- Будут ли данные храниться на локальных компьютерах?
- Будут ли журналы собираться в каждой системе и помещаться в централизованную систему ведения журналов?
Рекомендуемый инструмент: анализатор разрешений для Active Directory
Этот БЕСПЛАТНЫЙ инструмент позволяет мгновенно просматривать разрешения пользователей и групп. Быстро проверяйте разрешения пользователей или групп для файлов, сетевых ресурсов и общих папок.
Анализ разрешений пользователей на основе членства отдельного пользователя или группы.
Ключевым компонентом аудита Windows является аудит изменений Windows, иногда называемый мониторингом целостности файлов, который влечет за собой обнаружение изменений в системах, особенно в Active Directory, Exchange, SQL и файловых системах.
Благодаря анализу безопасности Windows и системных событий аудит Windows может определить шаги по улучшению управления безопасностью и снижению риска несанкционированного доступа и нежелательных изменений в ваших системах. Тщательный аудит Windows помогает организациям соблюдать требования к защите данных, заблаговременно выявлять потенциальные угрозы (например, нежелательные изменения) и снижать риск утечки данных. Часто инструменты аудита и безопасности Windows также позволяют откатить изменения до более ранней, более желательной конфигурации.
Политика аудита Windows
Политика аудита Windows определяет конкретные события, которые вы хотите регистрировать, и конкретные действия, регистрируемые для каждого из этих событий. Например, ваша политика аудита может определять, что вы хотите регистрировать любой удаленный доступ к компьютеру с Windows, но вам не нужно отслеживать попытки входа в систему со стороны кого-либо из вашей организации.
Аудит Windows может генерировать огромные объемы данных, поэтому стоит сначала тщательно изучить ключевую информацию, которую необходимо собрать для принятия обоснованных решений в отношении политики безопасности.
Как правило, политики аудита следует сосредоточить на действиях, которые могут создать риск для вашей среды Windows, таких как неправильная конфигурация, которая приводит к сбоям в работе, или изменение, которое приводит к предоставлению пользователям чрезмерного привилегированного доступа, что увеличивает поверхность риска. Существует множество событий Windows, которые происходят каждый день по законным причинам доступа и по деловым причинам, и будет важно исключить ложные срабатывания
Типы событий Windows, которые можно отслеживать
Примеры событий, которые вы можете регистрировать для аудита, включают:
События входа и выхода: попытки доступа и входа на определенное устройство, независимо от того, были ли эти попытки успешными или нет.
Управление учетными записями: изменение профилей пользователей и учетных записей на компьютерах Windows.
Active Directory: изменения в конфигурации Active Directory или профилях пользователей.
Доступ к серверу и вход в систему: клиент-серверный доступ с удаленного компьютера к серверу Windows.
Доступ к объектам: когда компьютеры Windows получают доступ к определенным устройствам или объектам в сети, включая файлы, папки или принтеры.
Доступ к реестру: внесение изменений в реестр компьютера Windows. Ключи реестра обычно обновляются при установке, изменении или удалении приложений.
Изменения политики: поправки к правам доступа или другим ИТ-политикам.
Системные события: запуск и выключение компьютеров и другие обновления состояния системы.
Это всего лишь выборка всех областей, которые вы можете отслеживать и захватывать. Некоторые из этих областей аудита полезны в особых случаях, например, при отладке программного обеспечения или для понимания того, как осуществляется доступ к конкретным устройствам. Другие области, такие как аудит Active Directory, играют более важную роль в обеспечении безопасности всей среды Windows.
Что нужно вашей организации для аудита
В конечном счете, типы событий Windows, которые вы выбираете для регистрации, анализа и аудита, зависят от приоритетов вашей организации.Как правило, слишком много данных безопасности лучше, чем слишком мало. Легче «перегрузить журнал», а затем перейти к конкретным данным, которые вам нужны, чем столкнуться с проблемой, а затем обнаружить, что вы не зафиксировали нужные события для выявления и решения проблемы.
Учитывайте тип данных, которыми управляет ваша организация, ваш общий профиль управления рисками, доступные ресурсы и программное обеспечение, которое вы используете для аудита и анализа. Имейте в виду, что вы всегда можете настроить то, что вы фиксируете, когда анализируете информацию, чтобы получить правильное сочетание зарегистрированных событий.
Две важные области — аудит политик Active Directory и Windows
Active Directory обычно используется для предоставления пользователям возможности доступа к определенным приложениям, папкам и файлам на основе их личности. Поскольку это централизованная служба, которая широко используется для аутентификации и авторизации пользователей в бизнесе, Active Directory часто становится основной целью кибератак. В результате мониторинг и аудит изменений Active Directory следует считать важным компонентом безопасности Active Directory.
Еще одна область, которую вам нужно отслеживать, — это изменения политики Windows. Объекты групповой политики используются для управления различными правами доступа и администрирования в сети Windows, поэтому контроль за изменениями необходим для искоренения потенциального злоупотребления доступом и привилегиями и выявления любых подозрительных субъектов и действий.
Технологии аудита Windows
Несмотря на то, что в Windows есть некоторые встроенные возможности аудита, они не соответствуют требованиям большинства организаций. Собственные возможности аудита Windows недостаточно эффективны, когда речь идет об анализе журнала и откате изменений. С другой стороны, корпоративные решения для аудита Windows могут обеспечивать аудит изменений/мониторинг целостности файлов в режиме реального времени, упрощенный анализ журналов, восстановление с высокой точностью, расширенные оповещения и централизованные отчеты, а также многие другие функции, которые значительно упрощают администрирование, особенно когда речь идет об обнаружении и отмене изменений или о предоставлении быстрой и достоверной информации аудиторам.
Непрерывный аудит активности в вашей сети – один из наиболее важных способов обеспечения безопасности, поскольку он помогает вам своевременно замечать потенциально вредоносные действия, чтобы принять меры и предотвратить утечку данных, простои системы и нарушения нормативных требований. К наиболее популярным методам аудита Windows относятся:
- Журналы событий и пересылка журналов событий
- Аудит и расширенный аудит
- Службы сбора данных аудита
- Ведение журнала Windows PowerShell
Журналы событий и пересылка журнала событий
Журналы событий записывают действия на определенном компьютере. При правильной настройке аудита
почти все события, имеющие значение для безопасности, регистрируются в средстве просмотра событий. Это делает журналы событий первым, на что следует обращать внимание при расследовании ИТ-безопасности. Вот два важных совета::
- Настройте максимальный размер журнала событий (4 ГБ), чтобы свести к минимуму вероятность того, что события будут перезаписаны из-за переполнения журнала.
- Архивируйте свои журналы событий, чтобы, если вы обнаружите атаку, вы могли просмотреть старые журналы событий, чтобы точно узнать, когда и как злоумышленники смогли взломать систему.
Пересылка журнала событий
Вы также должны регулярно перемещать журналы событий с компьютеров, поскольку злоумышленники часто очищают журналы событий, чтобы избежать обнаружения. Функция пересылки журналов событий Windows позволяет автоматически пересылать журналы событий со всех компьютеров на назначенный компьютер (сборщик событий), где все они надежно хранятся. Существует два типа подписки на мероприятия:
- Подписки, инициированные источником, позволяют определить подписку на события на компьютере сборщика событий, не определяя исходные компьютеры. Затем вы используете групповую политику, чтобы контролировать, какие исходные компьютеры пересылают события сборщику событий.
- Подписки, инициированные сборщиком, позволяют создать подписку на события, в которой указаны исходные компьютеры, которые будут пересылать журналы событий.
Вы можете узнать больше о том, как настроить пересылку журнала событий, прочитав эту статью.
Аудит и расширенный аудит
Политики аудита позволяют записывать различные действия в журнал безопасности Windows. Затем вы можете просмотреть эти журналы аудита, чтобы выявить проблемы, требующие дальнейшего изучения. Аудит успешных действий предоставляет документацию об изменениях, чтобы вы могли устранить, какие изменения привели к сбою или взлому. Регистрация неудачных попыток позволяет обнаружить злонамеренных хакеров или неавторизованных пользователей для доступа к корпоративным ресурсам.
Ваша политика аудита определяет категории событий, связанных с безопасностью, которые вы хотите отслеживать. Чтобы настроить параметры политики, перейдите в раздел Конфигурация компьютера групповой политики -> Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Политика аудита.Вот основные настройки и что произойдет, если вы включите их:
- Аудит учетной записи logonevents — создает событие, когда пользователь или компьютер пытается использовать учетную запись Active Directory для аутентификации.
- Аудит управления учетными записями — аудит таких событий, как создание, удаление или изменение учетной записи пользователя, группы или компьютера, а также сброс паролей пользователей.
- Аудит доступа к службе каталогов — аудит событий, указанных в системном списке управления доступом, например разрешений.
- Аудит событий входа в систему. Создает событие, когда пользователь входит в систему в интерактивном режиме (локально) или по сети (удаленно).
- Аудит доступа к объектам. Аудит доступа к таким объектам, как файлы, папки, ключи реестра и принтеры, которые имеют собственные списки SACL.
- Аудит изменений политик — аудит изменений в политиках назначения прав пользователей, политиках аудита и политиках доверия.
- Аудит использования привилегий — проверяет попытки использования разрешений или прав пользователя. Вы можете выбрать, следует ли проверять успешные попытки, неудачные попытки или и то, и другое.
- Аудит отслеживания процессов — аудит событий, связанных с процессом, таких как создание и завершение процесса, дублирование дескрипторов и косвенный доступ к объектам.
- Аудит системных событий — аудит перезапусков и завершений работы системы, а также изменений, влияющих на систему или журналы безопасности.
Расширенная политика аудита
Администраторы могут проводить аудит более конкретных событий, используя расширенные параметры политики аудита, расположенные в разделе Конфигурация компьютера групповой политики -> Политики -> Параметры Windows -> Параметры безопасности -> Расширенная конфигурация политики аудита -> Политики аудита. Доступны следующие категории:
- Вход в учетную запись. Эти параметры управляют аудитом проверки учетных данных и других событий аутентификации и операций с билетами, специфичных для Kerberos.
- Управление учетными записями. Эти параметры политики связаны с изменением учетных записей пользователей, учетных записей компьютеров, изменениями членства в группах и регистрацией событий смены пароля.
- Подробное отслеживание. Эти параметры управляют аудитом событий шифрования, событий создания и завершения процессов Windows, а также событий удаленного вызова процедур (RPC).
- Доступ к DS — эти параметры политики определяют, следует ли отслеживать доступ к AD, изменения AD и репликацию.
- Вход/выход из системы. Эта группа параметров управляет аудитом стандартных событий входа и выхода из системы.
- Доступ к объектам. Эти настройки охватывают доступ к AD, реестру, приложениям и файловому хранилищу.
- Изменение политики. Эти параметры контролируют отслеживание изменений в настройках политики.
- Использование привилегий. Эти параметры определяют, следует ли проводить аудит попыток использования привилегий в среде Windows.
- Система. Эти параметры используются для аудита изменений состояния подсистемы безопасности.
- Аудит доступа к глобальным объектам. Эти параметры предназначены для управления параметрами SACL для всех объектов на одном или нескольких компьютерах.
Вы можете узнать, как правильно настроить аудит Windows Server, прочитав Рекомендации по политике аудита.
Услуги по сбору аудиторских проверок
Windows предоставляет инструмент для извлечения журналов безопасности с серверов под управлением Windows Server в централизованное расположение для упрощения аудита безопасности и анализа журналов — службы сбора аудита (ACS). ACS — это утилита на основе агента, которая объединяет журналы в базу данных Microsoft SQL Server.
По умолчанию, когда политика аудита реализована на компьютере под управлением Windows, этот компьютер автоматически сохраняет все события, созданные политикой аудита, в свой локальный журнал безопасности. Используя ACS, организации могут объединить все эти отдельные журналы безопасности в централизованно управляемую базу данных, а затем фильтровать и анализировать события с помощью инструментов анализа данных и создания отчетов в Microsoft SQL Server.
Ведение журнала Windows PowerShell
Администраторы могут использовать Windows PowerShell для включения или отключения ведения журнала на уровне модуля Windows PowerShell. По умолчанию все журналы в Windows PowerShell отключены. Вы можете включить его, установив для свойства «LogPipelineExecutionDetails» значение «$ true»; чтобы снова отключить его, установите свойство обратно в «$false».
Windows PowerShell также предлагает функцию подробного отслеживания сценариев, которая позволяет включить подробное отслеживание и анализ использования сценариев Windows PowerShell в системе. Если включить подробную трассировку сценариев, Windows PowerShell записывает все блоки сценариев в журнал событий Event Tracing for Windows (ETW) по пути «Microsoft-Windows-PowerShell/Operational».
Обзор
Включение аудита Windows имеет решающее значение для расследования инцидентов безопасности, устранения неполадок и оптимизации ИТ-среды. Обязательно настройте его в соответствии с рекомендациями, чтобы уменьшить объем бесполезных данных журнала.
Сторонние инструменты могут повысить качество аудита Windows и автоматизировать многие задачи аудита.Например, Netwrix Auditor для Windows Server обеспечивает полное представление о том, что происходит в вашей среде Windows Server.
Джефф — бывший директор по разработке глобальных решений в Netwrix. Он давний блогер Netwrix, спикер и ведущий. В блоге Netwrix Джефф делится лайфхаками, советами и рекомендациями, которые могут значительно улучшить ваш опыт системного администрирования.
Функция аудита в Windows 10 является полезным заимствованием из предыдущих версий Windows. Он позволяет пользователям и администраторам Windows 10 просматривать события безопасности в журнале аудита с целью отслеживания системных событий и событий безопасности.
В этой вводной статье подробно рассказывается, что такое журнал приложений Windows и где его можно просмотреть. Кроме того, мы рассмотрим важность ведения журнала и аудита, как включить аудит в вашей системе Windows 10 и как просмотреть журнал событий безопасности.
Что такое журнал приложений Windows?
Windows предоставила пользователям и администраторам постоянный доступ к журналам, чтобы лучше понимать системные события и события безопасности. Журнал приложений используется для записи событий, записываемых приложениями и службами. Эти приложения могут быть проприетарными/коммерческими приложениями (включая SQL Server) и приложениями, разработанными вашей организацией.
События, которые можно регистрировать, включают целый ряд событий приложений, от событий запуска приложений до событий ошибок во время выполнения. Специалисты службы поддержки могут запросить доступ к вашему журналу приложений, чтобы помочь им оценить проблему с приложением.
Где найти журнал приложений?
Microsoft перенесла средство просмотра событий в Windows 10. Чтобы легко получить доступ к средству просмотра событий, введите «Событие» в строке поиска Windows 10 Cortana, затем нажмите «Просмотр событий», когда оно появится в результатах поиска. После открытия средства просмотра событий выберите «Журналы Windows» в дереве консоли с левой стороны, затем дважды щелкните «Приложение» в дереве консоли. Появится журнал приложений Windows 10.
В журнал приложений записывается определенная информация о событиях приложений. Эта информация включает:
- Имя журнала
- Источник
- Идентификатор события
- Уровень
- Пользователь
- Время регистрации события
Какие события он обычно записывает? Вот список обычно записываемых событий:
- Запуск приложений
- Исключения для приложений
- Журналы SQL
- Основные события приложений, включая перезапуски, остановки и другие события безопасности.
- Выберите отладочную информацию.
Эта информация может затем использоваться аудиторами, специалистами по информационной безопасности и специалистами службы поддержки для дальнейшего расследования событий приложений в вашей системе Windows 10.
Важность регистрации и аудита
Ведение журнала и аудит работают как система контроля доступа, обеспечивая выполнение только авторизованных действий. Они играют ключевую роль в выявлении, предотвращении и прекращении нежелательных действий и обеспечивают контрольный журнал, который можно использовать в расследованиях.
Ведение журналов необратимо (журналы можно удалять, изменять и т. д.), но аудит считается более постоянным методом записи и хранения событий.
Как проводить аудит журналов приложений Windows 10
Это шаги для аудита журнала приложений в системе Windows 10.
Включить аудит
Установить политику аудита
Следующий шаг — настроить политику аудита так, чтобы она учитывала то, что будет фиксироваться в ходе аудита. Откройте редактор локальной групповой политики и снова запустите приглашение CMD. После запуска введите gpedit.msc и нажмите OK.
Перейдите к Политике аудита, которую можно найти в разделе Конфигурация компьютера ➝ Параметры Windows ➝ Параметры безопасности ➝ Локальные политики ➝ Политика аудита. На этом этапе вам будут представлены конфигурации аудита, которые вы используете для установки параметров аудита. Дважды щелкните по ним в правой части редактора локальной групповой политики. Вы можете настроить аудит этих элементов в случае успеха или неудачи.
Как просмотреть журнал событий безопасности
Включив функцию аудита Windows 10 и настроив политику аудита, вы можете начать просматривать записанные события. Чтобы найти журнал событий безопасности, откройте средство просмотра событий. Открыв средство просмотра событий, разверните дерево консоли и нажмите "Безопасность".
Обратите внимание: если функция аудита не включена должным образом и не задана политика аудита, этот журнал будет пустым.
Заключение
Аудит журналов приложений — ценный источник информации о событиях, касающихся различных приложений Windows 10, включая всемогущий SQL Server. Хотя в Windows 10 есть полезная функция аудита, ее необходимо правильно включить с помощью соответствующей политики аудита, прежде чем вы сможете использовать эту функцию в аудитах, расследованиях и т. п.
Если происходят какие-либо события, связанные с приложением, или если вы подозреваете, что они могут быть, аудит журналов приложений Windows 10 должен помочь диагностировать проблему.
Читайте также: