Microsoft windows security auditing как отключить windows 10
Аудит события входа Audit logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События для логотипа Logon events | Описание Description |
|---|---|
| 4624 4624 | Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below. |
| 4625 4625 | Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 4634 4634 | Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user. |
| 4647 4647 | Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process. |
| 4648 4648 | Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 4779 4779 | Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off. |
При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.
Аудит изменения состояния безопасности Audit Security State Change
Область применения Applies to
Аудит изменения состояния безопасности содержит события запуска, восстановления и завершения работы Windows, а также сведения об изменениях системного времени. Audit Security State Change contains Windows startup, recovery, and shutdown events, and information about changes in system time.
Объем события: низкий. Event volume: Low.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Нет No | Да Yes | Нет No | Количество событий в этой подкатегории очень мало, и все они являются важными событиями и имеют релевантность для системы безопасности. The volume of events in this subcategory is very low and all of them are important events and have security relevance. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Сервер-член Member Server | Да Yes | Нет No | Да Yes | Нет No | Количество событий в этой подкатегории очень мало, и все они являются важными событиями и имеют релевантность для системы безопасности. The volume of events in this subcategory is very low and all of them are important events and have security relevance. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Workstation Workstation | Да Yes | Нет No | Да Yes | Нет No | Количество событий в этой подкатегории очень мало, и все они являются важными событиями и имеют релевантность для системы безопасности. The volume of events in this subcategory is very low and all of them are important events and have security relevance. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
Список событий: Events List:
4608(S): начинается запуск Windows. 4608(S): Windows is starting up.
4616(S): время системы было изменено. 4616(S): The system time was changed.
4621(S): администратор восстановил систему из CrashOnAuditFail. 4621(S): Administrator recovered system from CrashOnAuditFail.
Событие 4609(S): завершение работы Windows в настоящее время не генерируется. Event 4609(S): Windows is shutting down doesn’t currently generate. Это определенное событие, но оно никогда не вызывается операционной системой. It is a defined event, but it is never invoked by the operating system.
Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности. Audit: Shut down system immediately if unable to log security audits
Область применения Applies to
В этой статье описываются лучшие методики, расположение, значения, методы управления и вопросы безопасности для аудита: немедленное завершение работы системы, если не удается занося в журнал параметр политики безопасности аудита безопасности. Describes the best practices, location, values, management practices, and security considerations for the Audit: Shut down system immediately if unable to log security audits security policy setting.
Справочные материалы Reference
Аудит: немедленное завершение работы системы, если не удается занося в журнал параметр политики аудита безопасности, определяет, будет ли система отключена, если она не может занося в журнал события безопасности. The Audit: Shut down system immediately if unable to log security audits policy setting determines whether the system shuts down if it is unable to log security events. Этот параметр политики является требованием для сертификации доверенных критериев оценки компьютерной системы (TCSEC)-C2 и общих критериев, чтобы предотвратить события аудита, если система аудита не может зайти в журнал этих событий. This policy setting is a requirement for Trusted Computer System Evaluation Criteria (TCSEC)-C2 and Common Criteria certification to prevent auditable events from occurring if the audit system is unable to log those events. Корпорация Майкрософт решила выполнить это требование, остановив систему и отобразив сообщение «Остановить» в случае сбоя системы аудита. Microsoft has chosen to meet this requirement by halting the system and displaying a Stop message in the case of a failure of the auditing system. Включение этого параметра политики останавливает работу системы, если аудит безопасности не может быть зарегистрирован по какой-либо причине. Enabling this policy setting stops the system if a security audit cannot be logged for any reason. Как правило, событие не записывалось в журнал, когда журнал аудита безопасности заполнен, а значением метода хранения для журнала безопасности является «Не перезаписывать события «Не перезаписывать» (очистить журнал вручную) или перезаписывать события по дням. Typically, an event fails to be logged when the security audit log is full and the value of Retention method for security log is Do not overwrite events (clear log manually) or Overwrite events by days.
Аудит: немедленное завершение работы системы, если не удается зайти в журнал аудитов безопасности с установленным «Включено», если журнал безопасности заполнен и существующая запись не может быть перезаписана, появится следующее сообщение о остановке: **** With Audit: Shut down system immediately if unable to log security audits set to Enabled, if the security log is full and an existing entry cannot be overwritten, the following Stop message appears:
STOP: C0000244
Не удалось создать аудит безопасности. An attempt to generate a security audit failed.
Для восстановления необходимо войти в систему, архивировать журнал (необязательно), очистить журнал и сбросить этот параметр при желании. To recover, you must log on, archive the log (optional), clear the log, and reset this option as desired.
Если компьютеру не удается записать события в журнал безопасности, критические свидетельства или важные сведения об устранении неполадок могут быть недоступны для проверки после инцидента безопасности. If the computer is unable to record events to the security log, critical evidence or important troubleshooting information might not be available for review after a security incident.
Возможные значения Possible values
Рекомендации Best practices
Расположение Location
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Значения по умолчанию Default values
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Не определено Not defined |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Отключено Disabled |
| Эффективные параметры по умолчанию для DC DC Effective Default Settings | Отключено Disabled |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Отключено Disabled |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Отключено Disabled |
Управление политикой Policy management
В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy. Административная нагрузка на включение этого параметра политики **** может быть очень высокой, особенно если для журнала безопасности также установлено правило хранения «Не перезаписывать события» (очистить журнал вручную). The administrative burden of enabling this policy setting can be very high, especially if you also set the Retention method for security log to Do not overwrite events (clear log manually). Этот параметр превращает угрозу отказа (оператор резервного копирования может запретить резервное копирование или восстановление данных) в угрозу отказа в обслуживании, так как сервер может быть принудительно отключен, если он перегружен событиями входа и другими событиями безопасности, которые записаны в журнал безопасности. This setting turns a repudiation threat (a backup operator could deny that they backed up or restored data) into a denial-of-service threat, because a server can be forced to shut down if it is overwhelmed with logon events and other security events that are written to the security log. Кроме того, так как отключение работает не корректно, возможно, что причиной неуправимого повреждения операционной системы, приложений или данных может быть неуправимый ущерб. Additionally, because the shutdown is not graceful, it is possible that irreparable damage to the operating system, applications, or data could result. Несмотря на то что файловая система NTFS гарантирует, что целостность файловой системы будет поддерживаться во время внезапного завершения работы системы, она не может гарантировать, что каждый файл данных для каждого приложения будет по-прежнему в форме, которую можно использовать при перезапуске системы. Although the NTFS file system will guarantee that the file system’s integrity will be maintained during a sudden system shutdown, it cannot guarantee that every data file for every application will still be in a usable form when the system is restarted.
Необходимость перезапуска Restart requirement
Нет. None. Изменения этой политики становятся эффективными без перезапуска компьютера, если они сохраняются локально или распространяются с помощью групповой политики. Changes to this policy become effective without a computer restart when they are saved locally or distributed through Group Policy.
Групповая политика Group Policy
Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями. Modifying this setting may affect compatibility with clients, services, and applications.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Если компьютеру не удается записать события в журнал событий безопасности, критические свидетельства или важные сведения об устранении неполадок могут быть недоступны для проверки после инцидента безопасности. If the computer is unable to record events to the security event log, critical evidence or important troubleshooting information may not be available for review after a security incident. Кроме того, злоумышленник может создать большой объем событий журнала событий безопасности, чтобы намеренно принудительно закрыть работу. Also, an attacker could potentially generate a large volume of security event log events to purposely force a shutdown.
Противодействие Countermeasure
Включит аудит: немедленно отключит систему, если не удается зафиксировать параметр аудита безопасности, чтобы убедиться, что данные аудита безопасности будут фиксироваться для проверки. Enable the Audit: Shut down system immediately if unable to log security audits setting to ensure that security auditing information is captured for review.
Возможное влияние Potential impact
Если включить этот параметр политики, административная нагрузка **** может быть значительной, особенно если также настроить метод хранения для журнала безопасности таким образом, чтобы события не перезаписывались (очищать журнал вручную). If you enable this policy setting, the administrative burden can be significant, especially if you also configure the Retention method for the Security log to Do not overwrite events (clear log manually). Такая конфигурация приводит к тому, что угроза отказа (оператор резервного копирования может запретить резервное копирование или восстановление данных) становится уязвимостью типа «отказ в обслуживании» (DoS), так как сервер может быть принудительно отключен, если он перегружен событиями входа и другими событиями безопасности, которые записаны в журнал событий безопасности. This configuration causes a repudiation threat (a backup operator could deny that they backed up or restored data) to become a denial of service (DoS) vulnerability because a server could be forced to shut down if it is overwhelmed with logon events and other security events that are written to the security event log. Кроме того, из-за резкого завершения работы может быть причинен неуправимый ущерб операционной системе, приложениям или данным. Also, because the shutdown is abrupt, it is possible that irreparable damage to the operating system, applications, or data could result. Несмотря на то что файловая система NTFS сохраняет свою целостность при этом типе завершения работы компьютера, нет гарантии, что каждый файл данных для каждого приложения будет по-прежнему работать в форме, которую можно использовать при перезапуске устройства. Although the NTFS file system maintains its integrity when this type of computer shutdown occurs, there is no guarantee that every data file for every application will still be in a usable form when the device restarts.
Параметры расширенной политики аудита безопасности Advanced security audit policy settings
Относится к: Applies to
Эта ссылка для ИТ-специалистов содержит сведения о параметрах политики аудита, доступных в Windows, и событиях аудита, которые они создают. This reference for IT professionals provides information about the advanced audit policy settings that are available in Windows and the audit events that they generate.
Параметры политики аудита безопасности в параметрах безопасности\Advanced Audit Policy Configuration могут помочь организации в аудите соблюдения важных правил, связанных с бизнесом и безопасностью, отслеживая точно определенные действия, такие как: The security audit policy settings under Security Settings\Advanced Audit Policy Configuration can help your organization audit compliance with important business-related and security-related rules by tracking precisely defined activities, such as:
Доступ к этим настройкам политики аудита можно получить с помощью привязки к локальной политике безопасности (secpol.msc) на локальном компьютере или с помощью групповой политики. You can access these audit policy settings through the Local Security Policy snap-in (secpol.msc) on the local computer or by using Group Policy.
Эти расширенные параметры политики аудита позволяют выбирать только те действия, которые необходимо отслеживать. These advanced audit policy settings allow you to select only the behaviors that you want to monitor. Вы можете исключить результаты аудита для поведения, которое мало для вас или не вызывает у вас никакого беспокойства, или поведения, создающее чрезмерное количество записей журнала. You can exclude audit results for behaviors that are of little or no concern to you, or behaviors that create an excessive number of log entries. Кроме того, поскольку политики аудита безопасности можно применять с помощью объектов групповой политики домена, параметры политики аудита можно изменять, тестировать и развертывать для отдельных пользователей и групп с относительной простотой. In addition, because security audit policies can be applied by using domain Group Policy Objects, audit policy settings can be modified, tested, and deployed to selected users and groups with relative simplicity. Параметры политики аудита в параметрах безопасности\Advanced Audit Policy Configuration доступны в следующих категориях: Audit policy settings under Security Settings\Advanced Audit Policy Configuration are available in the following categories:
Логон учетной записи Account Logon
Настройка параметров политики в этой категории поможет документировать попытки проверки подлинности данных учетных записей на контроллере домена или в локальном диспетчере учетных записей безопасности (SAM). Configuring policy settings in this category can help you document attempts to authenticate account data on a domain controller or on a local Security Accounts Manager (SAM). В отличие от параметров и событий политики Logon и Logoff, отслеживая попытки доступа к определенному компьютеру, параметры и события этой категории фокусируется на используемой базе данных учетных записей. Unlike Logon and Logoff policy settings and events, which track attempts to access a particular computer, settings and events in this category focus on the account database that is used. В эту категорию входят следующие подкатегории: This category includes the following subcategories:
Управление учетными записями Account Management
Параметры политики аудита безопасности в этой категории можно использовать для мониторинга изменений учетных записей и групп пользователей и компьютеров. The security audit policy settings in this category can be used to monitor changes to user and computer accounts and groups. В эту категорию входят следующие подкатегории: This category includes the following subcategories:
Подробный отслеживание Detailed Tracking
Подробные параметры политики отслеживания безопасности и события аудита можно использовать для мониторинга действий отдельных приложений и пользователей на этом компьютере, а также для понимания того, как используется компьютер. Detailed Tracking security policy settings and audit events can be used to monitor the activities of individual applications and users on that computer, and to understand how a computer is being used. В эту категорию входят следующие подкатегории: This category includes the following subcategories:
Доступ к DS DS Access
Параметры политики аудита безопасности DS Access предоставляют подробный след аудита попыток доступа к объектам в службе доменных служб Active Directory (AD DS) и их изменения. DS Access security audit policy settings provide a detailed audit trail of attempts to access and modify objects in Active Directory Domain Services (AD DS). Эти события аудита регистрируются только на контроллерах домена. These audit events are logged only on domain controllers. В эту категорию входят следующие подкатегории: This category includes the following subcategories:
Logon/Logoff Logon/Logoff
Параметры политики безопасности Logon/Logoff и события аудита позволяют отслеживать попытки входа на компьютер в интерактивном режиме или через сеть. Logon/Logoff security policy settings and audit events allow you to track attempts to log on to a computer interactively or over a network. Эти события особенно полезны для отслеживания активности пользователей и выявления потенциальных атак на сетевые ресурсы. These events are particularly useful for tracking user activity and identifying potential attacks on network resources. В эту категорию входят следующие подкатегории: This category includes the following subcategories:
Доступ к объекту Object Access
Параметры политики доступа к объектам и события аудита позволяют отслеживать попытки доступа к определенным объектам или типам объектов на сети или компьютере. Object Access policy settings and audit events allow you to track attempts to access specific objects or types of objects on a network or computer. Чтобы аудит пытался получить доступ к файлу, каталогу, ключу реестра или любому другому объекту, необходимо включить соответствующую подкатегорию аудита объектов для успешного и/или неудачного события. To audit attempts to access a file, directory, registry key, or any other object, you must enable the appropriate Object Access auditing subcategory for success and/or failure events. Например, необходимо включить подкатегорию файловой системы для аудита файлов, а подкатегорию Реестра — доступ к реестру аудита. For example, the file system subcategory needs to be enabled to audit file operations, and the Registry subcategory needs to be enabled to audit registry accesses.
Доказать, что эти политики аудита являются фактическими для внешнего аудитора, сложнее. Proving that these audit policies are in effect to an external auditor is more difficult. Нет простого способа убедиться, что соответствующие SACLs установлены на всех унаследованных объектах. There is no easy way to verify that the proper SACLs are set on all inherited objects. Чтобы решить эту проблему, см. в глобальной проверке доступа к объектам. To address this issue, see Global Object Access Auditing.
В эту категорию входят следующие подкатегории: This category includes the following subcategories:
Изменение политики Policy Change
События аудита изменения политики позволяют отслеживать изменения важных политик безопасности в локальной системе или сети. Policy Change audit events allow you to track changes to important security policies on a local system or network. Так как политики обычно устанавливаются администраторами для защиты сетевых ресурсов, мониторинг изменений или попыток изменить эти политики может быть важным аспектом управления безопасностью для сети. Because policies are typically established by administrators to help secure network resources, monitoring changes or attempts to change these policies can be an important aspect of security management for a network. В эту категорию входят следующие подкатегории: This category includes the following subcategories:
Использование привилегий Privilege Use
Пользователям или компьютерам предоставляется разрешение на выполнение определенных задач в сети. Permissions on a network are granted for users or computers to complete defined tasks. Параметры политики безопасности privilege Use и события аудита позволяют отслеживать использование определенных разрешений в одной или более системах. Privilege Use security policy settings and audit events allow you to track the use of certain permissions on one or more systems. В эту категорию входят следующие подкатегории: This category includes the following subcategories:
System System
Параметры политики безопасности системы и события аудита позволяют отслеживать изменения на уровне системы на компьютере, которые не включены в другие категории и которые могут иметь последствия для безопасности. System security policy settings and audit events allow you to track system-level changes to a computer that are not included in other categories and that have potential security implications. В эту категорию входят следующие подкатегории: This category includes the following subcategories:
Аудит глобального доступа к объектам Global Object Access Auditing
Параметры политики аудита глобального доступа к объектам позволяют администраторам определять списки управления доступом к компьютерной системе (SACLs) для типа объекта для файловой системы или реестра. Global Object Access Auditing policy settings allow administrators to define computer system access control lists (SACLs) per object type for the file system or for the registry. Указанный SACL автоматически применяется к каждому объекту этого типа. The specified SACL is then automatically applied to every object of that type. Аудиторы смогут доказать, что каждый ресурс системы защищен политикой аудита, просмотрев содержимое параметров политики аудита глобального доступа к объектам. Auditors will be able to prove that every resource in the system is protected by an audit policy by viewing the contents of the Global Object Access Auditing policy settings. Например, если аудиторы видят параметр политики под названием «Отслеживайте все изменения, внесенные администраторами групп», они знают, что эта политика действует. For example, if auditors see a policy setting called «Track all changes made by group administrators,» they know that this policy is in effect.
SACLs ресурсов также полезны для диагностических сценариев. Resource SACLs are also useful for diagnostic scenarios. Например, установка политики аудита глобального доступа к объекту для журнала всех действий для конкретного пользователя и включение политики для отслеживания событий «Отказано в доступе» для файловой системы или реестра может помочь администраторам быстро определить, какой объект в системе отказывает пользователю в доступе. For example, setting the Global Object Access Auditing policy to log all the activity for a specific user and enabling the policy to track «Access denied» events for the file system or registry can help administrators quickly identify which object in a system is denying a user access.
Если файл или папка SACL и параметр политики аудита глобального доступа к объекту (или один параметр реестра SACL и параметр глобального аудита доступа к объектам) настроены на компьютере, эффективная SACL будет получена из объединения SACL файла или папки и политики аудита глобального доступа к объектам. If a file or folder SACL and a Global Object Access Auditing policy setting (or a single registry setting SACL and a Global Object Access Auditing policy setting) are configured on a computer, the effective SACL is derived from combining the file or folder SACL and the Global Object Access Auditing policy. Это означает, что событие аудита создается, если действие совпадает с SACL-файлом или папкой или политикой аудита глобального доступа к объектам. This means that an audit event is generated if an activity matches the file or folder SACL or the Global Object Access Auditing policy.
В эту категорию входят следующие подкатегории: This category includes the following subcategories: