Windows 7 отключить аудит

Обновлено: 08.07.2024

В этом разделе описывается, как выполнить загрузку в режиме аудита, настроить компьютер и подготовить компьютер для пользователей.

Существует два способа для загрузки в режиме аудита:

Если компьютер настроен на загрузку в режиме аудита, он будет загружаться в режиме аудита до тех пор, пока не будет выполнена настройка на запуск, использующий экран приветствия Windows.

Режим аудита позволяет добавить дополнительные драйверы устройств, установить приложения и проверить правильность установки. Изготовителям оборудования (OEM) и организациям следует использовать режим аудита для выполнения ручной настройки перед поставкой компьютера пользователю.

Чтобы отключить экранную заставку, необходимо изменить схему управления питанием в панели управления Windows или настроить и развернуть настраиваемую схему управления питанием. Дополнительные сведения см. в разделе Настройка схем управления питанием.

Изменение параметров автоматической установки в режиме аудита

Чтобы изменить параметры системы в режиме аудита, создайте новый файл автоматической установки.

Пример: sysprep.exe /audit /reboot /unattend:F:\Unattend-NewSettings.xml , где F: - это буква диска переносного устройства.

Эта команда выключает компьютер, применяет новые параметры автоматической установки и перезагружает компьютер в режиме аудита.

Если компьютер присоединен к домену, то запуск команды sysprep с параметром /audit приведет к исключению компьютера из домена. После загрузки компьютера в режиме аудита можно повторно присоединить компьютер к домену.

После завершения настройки и проверки готовности компьютера для продажи можно выполнить настройку системы для пользователей.

Дополнительные сведения о предварительной настройке экрана приветствия Windows см. в разделе Автоматизация экранa приветствия Windows.

Изготовители оборудования (OEM) и сборщики компьютеров должны настроить компьютер таким образом, чтобы при запуске компьютера пользователем отображался экран приветствия Windows. На этом экране пользователь должен принять условия лицензионного соглашения Майкрософт.

Можно предварительно задать параметры экрана приветствия Windows с помощью файла содержимого oobe.xml. Дополнительные сведения см. в Техническое руководство по Oobe.xml.

Для переноса образа на другой компьютер необходимо сначала удалить сведения, относящиеся только к данному компьютеру, с настроенного компьютера. Дополнительные сведения см. в разделе Подготовка к созданию образа для развертывания (Generalize).

Подготовка компьютера к развертыванию

Настройка компьютера на загрузку экрана приветствия Windows

Сегодня мы изучим режим аудита, благодаря которому в операционной системе Windows 7 и появилась возможность создавать авторские сборки. Данный режим раскрывает перед нами возможности "вшивать" в систему собственный пакет программ, которые впоследствии будут установлены во время установки ОС на компьютер пользователя. Для того, чтобы перейти в режим аудита у нас должны быть проделаны все действия из прошлой статьи Организация полигона. Если всё впорядке, то можете приступать к действиям описанным в данном материале.

Шаг 1. Перед входом в режим аудита необходимо отключить привод. Жмём Параметры-CD/DVD-Снимаем галочки с подключено-Ок.

Шаг 2. Для того, чтобы войти в режим аудита необходимо нажать комбинацию клавиш CTRL+SHIFT+F3. ОС уйдёт в перезагрузку, ждём когда система загрузится.

Шаг 3. После перезагрузки мы попадаем в Windows с необычным окном Программы подготовки системы 3.14. НЕ В КОЕМ СЛУЧАЕ НЕЛЬЗЯ ЗАКРЫВАТЬ ЭТО ОКНО.

Шаг 5. Теперь настроим сеть на виртуальной машину. Заходим в свойства сетевого адаптера-версия протокола 4-зададим ip 192.168.137.2 (для x64 137.3) , шлюз 137.1, DNS 137.1-Ок-Закрыть

Шаг 6. Должен появиться интернет (если не появился отключите фаервол).

Шаг 7. Переходим Панель управления-Центр обновления Window-Включить автоматическую установку обновлений-Установить-Настройка параметров-Загружать обновления, но решение об установке принимается мной-Загружаем обновления-Перезагружаемся. Таким образом ставим обновления, пока центр обновления не скажет, что новых обновлений нет.

Шаг 8. Создадим снимок состояния Windows с обновлениями.

Аналогичные действия повторяем с WINDOWS 7 Ultimate x64!

Шаг 9. Далее скачиваем SOFT (скачать) и перемещаем эту папку в удобное для вас место. Теперь давайте дадим доступ к папке SOFT. Для этого нажмём Виртуальная машина-Установить пакет VMware Tools-Установливаем данный пакет-Перезагружаем систему.

Шаг 10. Жмём Виртуальная машина-Параметры-Параметры-Общие папки-Включено всегда-Добавить-Указываем путь к папке SOFT-Включить этот общий ресурс-готово. Заходим Компьютер-Сеть-Включить сетевое обнаружение-vmware host-Shared Folders-SOFT.

Шаг 11. Из папки SOFT устанавливаем на виртуальную машину WinRar. Запускаем его из пуска и смотрим активирован ли он.

Шаг 12. Из той же папки устанавливаем Your Uninstaller! Pro, K-Lite Codec Pack, Adobe Flash Player, Adobe Reader 10 и Microsoft Office 2010 Professional Plus

Шаг 13. Теперь необходимо установить в хост систему (т.е. на реальный компьютер!) пакет автоматической установки Windows. Открываем уже знакомую нам папку SOFT\Microsoft AIK\StartCD.exe и выбираем Установка Windows AIK

Шаг 14. В виртуальной 32 битной системе копируем папочку x86 (SOFT\x86) на диск D, а в 64 битной копируем папку amd64 на диск D.

Шаг 15. Настало время почистить систему от ненужного мусора при помощи Your Uninstaller. Удаляем сначала VMware tools при помощи супер режима. Убираем из автозагрузки Office и Adobe Reader, затем очистка диска C, потом очистка следов. Обычно затем я удаляю и саму программу Your Uninstaller, но это не обязательно. Далее мы удаляем ненужные ярлыки с рабочего стола и создаём снимок системы с именем "Настроенная система"

Шаг 16. Завершаем работу в режиме аудита. Выбираем в надоевшем окошке Переход в окно приветствия системы, подготовка к использованию, завершение работы (всё как на скриншоте ниже) и жмём ОКей.

Шаг 17. Дожидаемся пока виртуальные машины завершат работу.

В двух последующих статьях мы завершим создание сборок наших систем выводом их в отдельные образы. Пишите свои вопросы и пожелания в комментариях под данной статьёй, ставьте лайки, подписывайтесь на мой блог в форме справа.

режим аудита можно использовать для настройки компьютера, добавления приложений и драйверов устройств, а также для тестирования компьютера в среде Windows.

Загрузка в режиме аудита запускает компьютер во встроенной учетной записи администратора, который затем автоматически удаляется на этапе настройки обобщения .
После настройки компьютера для загрузки в режиме аудита компьютер по умолчанию будет загружаться в режиме аудита до тех пор, пока не настроите компьютер для загрузки по стандартному интерфейсу (OOBE).

Если экранная заставка, защищенная паролем, запускается в режиме аудита, вы не сможете снова войти в систему. Встроенная учетная запись администратора, которая используется для входа в режим аудита, немедленно отключается после входа в систему. чтобы отключить экранную заставку, либо измените схему управления питанием с помощью Windows панели управления, либо настройте и разверните пользовательский план. Дополнительные сведения см. в статье Создание настраиваемой схемы управления питанием.

Автоматическая загрузка в режиме аудита в новой установке

когда Windows завершает процесс установки, компьютер автоматически загружается в режим аудита и появляется средство подготовки системы (Sysprep). дополнительные сведения об использовании средства sysprep в режиме аудита см. в разделе Sysprep (generalize) a Windows установки.

Загрузка вручную в режиме аудита (в новой или существующей установке)

На экране приветствия нажмите клавиши CTRL + SHIFT + F3.

Windows перезагружает компьютер в режиме аудита и появляется средство подготовки системы (Sysprep).

Автоматическая загрузка в OOBE при новой установке

если вы настроили образ Windows для загрузки в oobe, но затем вам потребуется внести дополнительные настройки в образ в режиме аудита, см. раздел изменение существующего образа, настроенного для загрузки в oobe.

Введите режим аудита для образа, настроенного для загрузки в OOBE

если вы настроили образ Windows для загрузки в OOBE, но затем хотите внести дополнительные настройки в образ в режиме аудита, можно выполнить одно из следующих действий.

Используйте сочетание клавиш CTRL + SHIFT + F3 . Компьютер перезагрузится в режиме аудита.

Этот параметр может активировать все скрипты, настроенные для запуска в OOBE.

при следующей загрузке Windows будет загружаться непосредственно в режиме аудита.

Автоматическая загрузка в режиме аудита из существующего образа

в командной строке с повышенными привилегиями подключите образ Windows. Пример:

где <image_index> — номер выбранного образа в WIM-файле.

Зафиксируйте изменения, а затем отсоедините образ. Пример:

когда образ применяется к конечному компьютеру и Windows загружается, компьютер автоматически загружается в режим аудита и появляется средство Sysprep . Примеры процедур см. в разделе Шаг 1. перенос образа на другой компьютер и шаг 2. Подготовка компьютера для клиента в примерах развертывания.

Примеры развертывания

Чтобы переместить образ на другой компьютер, необходимо сначала удалить сведения о компьютере из настроенного компьютера, обстроив образ с помощью средства Sysprep . Чтобы подготовить компьютер для клиента, необходимо обобщить компьютер, а затем настроить его для загрузки в OOBE, когда клиент впервые запускает компьютер. В следующих примерах мы создадим и перенесите эталонный образ на другой компьютер, а затем создадим образ для конкретной модели, который поставляется с клиентом.

Шаг 1. перенос образа на другой компьютер

Установите Windows на компьютер-образец.

После завершения установки загрузите компьютер и установите все дополнительные драйверы устройств или приложения.

после обновления установки Windows запустите Sysprep:

В командной строке выполните команду sysprep/generalize/shutdown .

В окне Средство подготовки системы установите флажок обобщение в поле действие очистки системы в окне Параметры завершения работы , выберите Завершение работы и нажмите кнопку ОК.

Sysprep удаляет данные, относящиеся к системе, из установки Windows. Сведения о системе включают журналы событий, уникальные идентификаторы безопасности (SID) и другие уникальные данные. После того как Программа Sysprep удалит уникальные системные сведения, компьютер завершит работу.

после завершения работы компьютера вставьте USB-устройство Windows PE или другой загрузочный носитель и перезагрузите его в Windows PE.

в сеансе Windows PE запишите эталонный образ с помощью команды Dism/каптуре-имаже .

Перейдите к следующему шагу, чтобы создать эталонное изображение для конкретной модели.

Шаг 2. Подготовка компьютера для клиента

Установите эталонный образ, созданный на шаге 1 , предназначенный для вашего клиента.

после обновления установки Windows в командной строке выполните Sysprep /audit /generalize /shutdown команду, чтобы настроить Windows для загрузки компьютера в режиме аудита. затем можно записать образ Windows, загрузив его в другой раздел или используя Windows PE.

используйте новое эталонное изображение для конкретной модели, чтобы установить Windows на новом компьютере. образ Windows применяется к компьютеру и Windows загружается в режиме аудита.

Используемых Можно установить дополнительные приложения и другие обновления на основе заказа клиента. Можно также протестировать компьютер, чтобы убедиться, что все компоненты работают правильно.

после обновления установки Windows выполните команду Sysprep/oobe/shutdown.

при установке Windows образов с помощью команды Sysprep/generalize/oobe взаимодействие с пользователем не будет идеальным. при следующей перезагрузке после выполнения Sysprep /generalize /oobe команды Windows выполняет этап настройки specialize , самонастраивающийся и другие задачи установки перед тем, как Windows запустит OOBE. Этот процесс может занять дополнительное время и задержать первый вход в систему клиента.

Как настроить политики аудита Windows таким образом, чтобы охват мониторинга SOC был полноценным? Рассмотрим оптимальный список политик, а также выделим самое необходимое, отсеяв лишнее.

Введение

Все мы любим заворожённо читать про очередное расследование инцидента, где шаг за шагом распутывается клубок: как проник злоумышленник, какие инструменты он использовал и когда, что за процессы создавались на скомпрометированном хосте, что происходило в сети и, конечно же, кто виноват и что делать.

На практике ответы на эти вопросы находятся не всегда. Зачастую при расследовании специалисты отделов ИБ сталкиваются с тем, что аудит не настроен, логи перезаписались, отсутствует единая система хранения и анализа журналов, «перезалит» заражённый хост (популярное решение всех проблем).

Ниже мы разберём один из самых важных этапов, который нужен для того, чтобы расследование не завершилось ещё в самом начале: сбор и хранение журналов аудита. Будут рассмотрены возможности расширенного аудита ОС Windows и его настройка.

Знакомство с расширенным аудитом Windows

Речь пойдёт о настройках для систем Microsoft Windows Vista / Server 2008 и выше. Начиная с указанных операционных систем компания Microsoft сделала шаг вперёд в понимании аудита и управления им. Так появился расширенный аудит. Теперь администраторы и специалисты по информационной безопасности могут управлять аудитом на уровне не только категорий, но и подкатегорий.

Давайте подробнее остановимся на них. Откроем оснастку локальной групповой политики, используя команду «gpedit.msc» (или через «secpol.msc»). Для групповых политик всё будет аналогично, только все действия будут выполняться через «gpmc.msc».

Полный путь к настройкам аудита выглядит следующим образом: Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Локальные политики / Политика аудита (Computer Configuration / Windows Settings / Security Settings / Local Policies / Audit Policy).

Рисунок 1. Политика аудита

Расширенный аудит, в свою очередь, находится здесь: Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Конфигурация расширенной политики аудита (Computer Configuration / Windows Settings / Security Settings / Advanced Audit Policy Configuration).

Рисунок 2. Конфигурация расширенной политики аудита

Ниже на рисунке видно, как они коррелируют между собой.

Рисунок 3. Корреляция аудита и расширенного аудита

В общей сложности нам доступны 10 политик и 60 подкатегорий.

Таблица 1. Категории и подкатегории аудита

Теперь вместо включения аудита «Доступ к объектам» мы можем очень тонко настроить его по подкатегориям. Например, мы не будем включать аудит событий «платформы фильтрации Windows», потому что он генерирует крайне большое количество событий (всё сетевое взаимодействие хоста), которые к тому же лучше отслеживать на специализированном оборудовании, таком как межсетевые экраны, маршрутизаторы, прокси- и DNS-серверы.

Включим аудит файловой системы, реестра, съёмного носителя и других событий доступа к объектам, а всё остальное оставим в выключенном состоянии (параметр «Не настроено»).

Рисунок 4. Пример настройки аудита доступа к объектам через подкатегории

События аудита могут иметь значение «Успех и отказ», изображённое на рис. 4, или поддерживать только одно из двух состояний. Например, аудит создания процессов (Event ID 4688: A new process has been created) может быть только «успешным» (рис. 5).

Рисунок 5. Аудит создания процессов регистрирует успешные события

Если вы не знаете, нужна ли вам та или иная политика аудита, то ознакомиться с их описанием тоже очень легко. Оно есть на вкладке «Пояснение» соответствующей политики.

Рисунок 6. Вкладка с описанием политики

Для некоторых политик аудита дополнительно нужно настраивать системные списки управления доступом (SACL). Это в первую очередь касается файлового аудита и аудита реестра (альтернатива — использовать весьма специфичную политику «Аудит доступа к глобальным объектам»).

Например, чтобы отслеживать изменения в файле «hosts», откроем его свойства и перейдём в настройки аудита: «Безопасность» -> «Дополнительно» -> «Аудит». Добавим субъект аудита: выбираем группу «Все». Тип аудита — «Успех». Ставим галочки напротив записи данных, удаления, смены разрешений и смены владельца.

Рисунок 7. Настройка SACL

Если в вашей компании уже существуют различные групповые политики с настройками аудита, но вы хотите начать использовать расширенный аудит и подкатегории, то для этого случая Microsoft учла и ввела новую политику, которая называется «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)» (Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings). По умолчанию она включена. Проверить состояние политики можно здесь: Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Локальные политики / Параметры безопасности (Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options).

Рисунок 8. Принудительное переопределение параметров политики аудита

Дополнительно вы можете управлять политиками аудита через инструмент командной строки «auditpol.exe».

Рисунок 9. Использование инструмента auditpol

Настройка политик аудита

Очень часто можно услышать совет: «давайте включим все политики». Это, конечно, — «путь джедая», но, как показывает практика, не все джедаи добрались до финала.

Для большинства сценариев мониторинга нет острой необходимости включать всё. Это излишне. Включая все политики, вы можете получить гигантский поток событий, в котором очень легко «утонуть». В большой инфраструктуре с несколькими тысячами Windows-хостов поток событий может исчисляться десятками тысяч EPS (событий в секунду). Это порождает другую, не менее сложную задачу: как этим управлять, где это хранить, как обрабатывать.

Предлагаем рассмотреть оптимальный список политик, который может вам понадобиться. Также стоит обратить внимание на то, что фактически настроек две (и, соответственно, существуют две различные GPO). Первая — исключительно для контроллеров домена, так как часть событий (например, ID 4768: A Kerberos authentication ticket (TGT) was requested) фиксируется исключительно на них. Вторая — для рядовых серверов и АРМ пользователей.

Таблица 2. Рекомендуемые настройки аудита Windows

После включения описанных политик у вас будут все необходимые события для мониторинга и расследования инцидентов.

Усиление цифровой обороны

Для максимальной отдачи необходимо выполнить ещё одну настройку — включить логирование «командной строки процесса». Тогда на рабочих станциях и серверах, к которым применяется этот параметр политики, сведения из командной строки будут заноситься в журнал событий «Безопасность» (Security) с ID 4688.

Рисунок 10. Журналирование командной строки процесса

Требования к версии ОС: не ниже Windows Server 2012 R2, Windows 8.1. Данная функциональность также доступна и на ОС Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 после установки обновления KB 3004375.

Путь к политике: Конфигурация компьютера / Административные шаблоны / Система / Аудит создания процессов (Computer Configuration / Administrative Templates / System / Audit Process Creation). Имя: «Включать командную строку в события создания процессов» (Include command line in process creation events).

Рисунок 11. Путь к аудиту создания процессов

Включаем политику, выставив соответствующее значение, и нажимаем «Применить» (Apply).

Рисунок 12. Настройка «Включать командную строку в события создания процессов»

После включения этой политики в журнале событий «Безопасность» (Security) в событиях с кодом 4688 появится дополнительное значение «Командная строка процесса» (Process Command Line), где будет отображаться тело исполняемой команды.

В примере ниже демонстрируется, как это поможет заглянуть чуть глубже. На первый взгляд в событии происходит запуск легитимного процесса «opera_autoupdate.exe», но вот строка «Process Command Line» больше похожа на запуск утилиты «mimikatz». Без активированной политики «Включать командную строку в события создания процессов» мы этого не зафиксируем.

Рисунок 13. Детектирование mimikatz

Укрепим нашу оборону и полным журналированием работы самого мощного инструмента ОС Windows — PowerShell. Для этого необходима версия PowerShell 5.0 или выше.

PowerShell 5.0 / 5.1 предустановлен в Windows 10, Windows Server 2016 и Windows Server 2019. Для остальных операционных систем необходимо обновить модуль Windows Management Framework.

Список поддерживаемых ОС:

Windows Server 2012 R2
Windows Server 2012
Windows Server 2008 R2 SP1
Windows 8.1
Windows 8
Windows 7 SP1

Включим регистрацию блоков сценариев PowerShell через соответствующую политику. Она находится по следующему пути: Административные шаблоны / Компоненты Windows / Windows PowerShell (Administrative Templates / Windows Components / Windows PowerShell). Имя: «Включить регистрацию блоков сценариев PowerShell» (Turn on PowerShell Script Block Logging)

Рисунок 14. Путь к аудиту Windows PowerShell

Рисунок 15. Включить регистрацию блоков сценариев PowerShell

После включения этой политики PowerShell будет регистрировать в журнале событий трассировки Microsoft-Windows-PowerShell/Operational с кодом события 4104 все блоки сценариев, в том числе — путь, тело скрипта и все используемые командлеты.

Рисунок 16. Пример регистрируемого события 4104

Хорошей практикой является увеличение размера самих журналов, даже если вы используете SIEM или сервер сборщика событий (Windows Event Collector). Например, журнал «Безопасность» (Security) по умолчанию имеет размер 20 МБ. При настроенном аудите на типичном АРМ этого объёма хватит на журналирование нескольких дней, на сервере — нескольких часов, а на контроллере домена 20 МБ не хватит ни на что.

Рекомендуем для всех основных журналов следующие объёмы:

журнал «Установка» (Setup) — не менее 10 МБ,
журнал «Система» (System) — не менее 50 МБ,
журнал «Приложение» (Application) — не менее 50 МБ,
журнал «Безопасность» (Security) — не менее 200 МБ (для контроллера домена — не менее 500 МБ).

При этом оставляем функцию перезаписи старых событий (по умолчанию она активирована).

Рисунок 17. Настройка хранения журналов аудита

Выводы

Настройка необходимых для мониторинга политик аудита, локальное долговременное хранение журналов, протоколирование запуска процессов и команд PowerShell позволит не упустить важные события безопасности и тщательно расследовать инциденты. Это — один из ключевых этапов в построении процессов непрерывного мониторинга, снижения рисков ИБ и повышения уровня защищённости.

В дальнейшем важно будет обеспечить централизованный сбор и хранение журналов в SIEM-системе, настройку корреляционных правил, киберразведку (Threat Intelligence), проведение активных испытаний безопасности в формате Red / Blue Team.

В статье рассмотрим то, как мы можем проводить аудит безопасности системы Windows. Узнаем как настроить и смотреть логи связанные с аудитом.

Привилегии связанные с аудитом

С аудитом доступа связаны две привилегии:

SeSecurityPrivilege — необходима для управления журналом событий безопасности и для просмотра или настройки SACL.
SeAuditPrivilege — позволяет процессам, вызывать системные службы аудита для успешного генерирования записей аудита.

Настройка политики аудита

Настройка политики аудита осуществляется из оснастки “Локальная политика безопасности” (secpol.msc).

Схема работы аудита

Записи аудита передаются от SRM к подсистеме безопасности LSASS одним из двух способов:

Аудит доступа к объекту

Аудит доступа к объекту по умолчанию выключен, как и другие политики аудита. Чтобы понаблюдать за тем, как работает аудит доступа к объекту, выполните следующие действия. В проводнике перейдите к файлу, к которому у вас есть доступ и откройте свойства этого файла, затем перейдите на вкладку “Безопасность“:

Там нажмите кнопку “Дополнительно” и перейдите на вкладку “Аудит“.

Затем нажмите кнопки “Продолжить” и “Добавить” и в открывшимся окне нажмите на ссылку “Выберите субъект“:

В открывшимся окне впишите логин своего пользователя и нажмите кнопку “Проверить имя“. Если ввели логин верно, то в списке пользователей отобразиться имя вашего пользователя:

Теперь нажмите на кнопку “ОК“, и выставьте все флажки в области “Особые разрешения” и ещё раз нажмите на кнопку “ОК“:

Затем нажмите ещё два раза на кнопку “ОК“, чтобы закрыть дополнительные параметры безопасности и свойства файла.

Дальше запустите оснастку secpol.msc и перейдите в “Локальные политики“. Там откройте “Аудит доступа к объектам” и поставьте флажок “Успех“, затем нажмите “ОК“:

Итак, политику аудита мы включили и на файле аудит настроили. Теперь откройте файл, запишите в него что нибудь и закройте сохранив изменения. Затем откройте журнал “eventvwr.exe” и перейдите в “Журналы Windows / Безопасность“:

Найдите событие с кодом 4656 — это и есть доступ к вашему файлу:

В событии вы увидите:

ИД безопасности — это ваша учетная запись.
Тип объекта — File.
Имя объекта — путь к файлу.
Имя процесса — путь к файлу программы (System32\notepad.exe).
Ключевые слова — Аудит успеха.
И другую информацию.

Глобальная политика аудита

Настраивать для каждого файла аудит безопасности не всегда удобно. Иногда нужно включить аудит безопасности для всех файлов или для всех разделов реестра разом. Делается это через командную строку.

Чтобы посмотреть краткую информацию о командах для настройки и запроса политики глобального аудита выполните:

Чтобы посмотреть глобальные списки SACL для файловой системы и для реестра выполните такие команды:

Для установки аудита всех файлов с доступом на запись (FW) выполните:

В примере выше вместо имени пользователя можно ввести группу.

Чтобы выключить глобальный аудит, включенный предыдущей командой, выполните:

Конфигурация расширенной политики аудита

В оснастке “Локальная политика безопасности” можно настроить конфигурацию расширенной политики аудита:

В этой конфигурации настройка политики аудита выполняется более тонко. Например, включение “Аудита доступа к объектам” рассматриваемое выше включало аудит для разных объектов. А тут можно выбрать тип объектов:

А “Аудит доступа к глобальным объектам” включает или отключает глобальные SACL, которые мы включали ранее из командной строки:

При включении “Аудита доступа к глобальным объектам” этот параметр нужно будет настроить, указав пользователей для аудита и тип доступа, в общем то что мы делали в командной строке выше:

Читайте также: