|
Computer Configuration\Windows Settings\Security Settings\
|
| bet | 22/91 | | Sana | 18.02.2022 | | Hajmi | 1.32 Mb. | | #15622 | | Turi | Руководство |
Computer Configuration\Windows Settings\Security Settings\
Advanced Audit Policy Configuration (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Расширенная настройка политики аудита)
Далее приводится краткое описание каждой категории.
Account Logon (вход учетной записи). Событие генерируется по факту проверки учетных данных. Оно происходит на том компьютере, которому принадлежат эти учетные данные. Например, в случае учетной записи домена событие генерируется на контроллере домена, а в случае локальной учетной записи — на локальном компьютере. В рамках домена большинство событий этой категории будет помещаться в журнал безопасности контроллера домена, на котором созданы учетные записи. Однако, если используются локальные учетные записи, эти события будут происходить и на других компьютерах.
Account Management (управление учетными записями). Это категория помогает отслеживать попытки создания новых пользователей и групп, их переименования, включения или выключения, а также смены паролей. Анализ записей этого аудита позволяет выявить злонамеренные, случайные или санкционированные создания учетных записей пользователей и групп.
Detailed Tracking (подробное отслеживание). Эта категория позволят вести детальное отслеживание таких событий, как активация программы, завершение работы процесса, создание копии дескриптора и косвенный доступ к объектам. Включение параметра Audit process tracking (аудит отслеживания процессов) приведет к записи большого числа событий, так что обычное значение этой политики — No Auditing (нет аудита). Однако, подробные сведения о том, какие процессы и когда были запущены, могут оказать неоценимую помощь в расследовании инцидента.
DS Access (доступ к DS). Эта категория применима только к контроллерам домена. Поэтому она и все ее подкатегории для целей настоящего руководства установлены в No Auditing (нет аудита).
|
| |
