Аудит безопасности в Windows. Windows журнал безопасности

Как записывать события аудита сервера в журнал безопасности

• 09/28/2010
• Время чтения: 3 мин

В этой статье

В среде с повышенной безопасностью подходящим местом для записи событий доступа к объектам является журнал безопасности Windows. Другие местонахождения аудита поддерживаются, но они более уязвимы для вторжения злоумышленников.

Для записи событий аудита сервера SQL Server в журнал безопасности Windows существует два основных требования.

• Параметр аудита доступа к объектам должен быть настроен для записи событий. Конкретный способ этой настройки зависит от операционной системы.

  • В среде Windows Vista и Windows Server 2008 используется средство политики аудита (auditpol.exe). Программа политики аудита предоставляет доступ к ряду внутренних параметров политик категории Аудит доступа к объектам. Чтобы позволить SQL Server проводить аудит доступа к объектам, нужно настроить параметр формируется приложением.

  • В более ранних версиях Windows средство политики аудита недоступно. Вместо него следует использовать оснастку политики безопасности (secpol.msc). Однако политика аудита, если она доступна, является более предпочтительной, так как позволяет проводить более детализированную настройку.

• Для записи в журнал безопасности Windows учетная запись, из-под которой выполняется служба SQL Server, должна иметь разрешение Создание аудитов безопасности. По умолчанию этим разрешением обладают учетные записи и Locale Service, и Network Service. Если служба SQL Server выполняется от имени одной из этих учетных записей, данный шаг не требуется.

Политика аудита Windows может влиять на аудит SQL Server, если она настроена на запись в журнал безопасности Windows. Если политика аудита настроена неправильно, возможна потеря событий. Обычно журнал безопасности Windows настроен на перезапись поверх более старых событий. Таким образом, сохраняются наиболее недавние события. Однако если журнал безопасности Windows не настроен на перезапись поверх более старых событий, то при его переполнении система создаст событие Windows 1104 (журнал заполнился). С этого момента происходит следующее.

• Занесение событий безопасности в журнал прекращается.

• SQL Server не сможет определить, что система не может записывать события в журнал безопасности, что ведет к потенциальной потере событий аудита.

• После того как системный администратор исправит проблему с журналом безопасности, занесение событий в журнал начнется снова в обычном режиме.

Администраторы компьютера, на котором выполняется SQL Server, должны понимать, что журнал безопасности может быть перезаписан политикой домена. В этом случае политика домена может перезаписать настройку этой подкатегории (auditpol /get /subcategory:"application generated"). Это может повлиять на способность SQL Server заносить события в журнал. При этом у системы нет никакой возможности узнать, что события, для которых SQL Server пытается проводить аудит, не будут занесены в журнал.

Для настройки этих параметров необходимо быть администратором Windows.

Настройка параметра аудита доступа к объектам в Windows с помощью средства auditpol

1. Если операционная система — Windows Vista или Windows Server 2008, откройте командную строку с административными разрешениями.

   1. В меню Пуск последовательно укажите пункты Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка и выберите пункт Запуск от имени администратора.

   2. В диалоговом окне Контроль учетных записей нажмите кнопку Продолжить.

2. Выполните следующую инструкцию для включения аудита из служб SQL Server.

   auditpol /set /subcategory:"application generated" /success:enable /failure:enable

3. Закройте окно командной строки.

   Изменение этой настройки вступает в силу немедленно.

Настройка параметра аудита доступа к объектам в Windows с помощью средства secpol

1. Если операционная система имеет более раннюю версию, чем Windows Vista или Windows Server 2008, в меню Пуск выберите пункт Выполнить.

2. Введите secpol.msc, а затем нажмите кнопку ОК. В диалоговом окне Управление доступом на уровне пользователей нажмите кнопку Продолжить.

3. В средстве «Локальная политика безопасности» разверните узел Параметры безопасности, разверните узел Локальные политики, а затем Политика аудита.

4. В области результатов дважды щелкните Аудит доступа к объектам.

5. На вкладке Параметры локальной безопасности в области Вести аудит следующих попыток доступа выберите оба параметра: Успешно и Ошибка.

6. Нажмите кнопку ОК.

7. Закройте средство политики безопасности.

   Изменение этой настройки вступает в силу немедленно.

Предоставление разрешения на создание аудитов безопасности конкретной учетной записи с помощью средства secpol

1. В любой версии операционной системы Windows в меню Пуск выберите пункт Выполнить.

2. Введите secpol.msc, а затем нажмите кнопку ОК. В диалоговом окне Управление доступом на уровне пользователей нажмите кнопку Продолжить.

3. В средстве «Локальная политика безопасности» разверните узел Настройки безопасности, разверните узел Локальные политики, а затем щелкните Назначение прав пользователя.

4. В области результатов дважды щелкните Создание аудитов безопасности.

5. На вкладке Параметры локальной безопасности нажмите кнопку Добавить пользователя или группу.

6. В диалоговом окне Выбор: Пользователи, Компьютеры или Группы либо введите имя учетной записи, например домен1\пользователь1, а затем нажмите кнопку ОК, либо нажмите кнопку Дополнительно... и найдите нужную учетную запись.

7. Нажмите кнопку ОК.

8. Закройте средство политики безопасности.

   Изменения вступят в силу после перезапуска SQL Server.

См. также

Основные понятия

msdn.microsoft.com

Аудит событий безопасности

 

Приложения, созданные с помощью Windows Communication Foundation (WCF), могут регистрировать в журнале события, связанные с безопасностью (успешно, сбой или оба), используя функцию аудита. События записываются в журнал системных событий Windows, и их можно просматривать при помощи средства просмотра событий.

Аудит позволяет администраторам обнаруживать уже законченную или происходящую атаку. Кроме того, аудит может помочь разработчику при отладке неполадок, связанных с безопасностью. Например, если в результате ошибки в конфигурации авторизации или политики проверки авторизованному пользователю было отказано в доступе, разработчик может быстро найти и понять причину такой ошибки, изучив журнал событий.

Дополнительные сведения о о безопасности в WCF см. в разделе Общие сведения о безопасности. Дополнительные сведения о о программировании WCF см. в разделе Базовое программирование WCF.

Уровень и поведение аудита

Предусмотрены два уровня аудита безопасности.

• Уровень авторизации службы, на котором производится авторизация вызывающего абонента.

• Уровень сообщений, на котором WCF проверяет допустимость сообщений и проверяет подлинность вызывающего абонента.

Можно проверить результаты аудита обеих уровней (успех или ошибка), что называется поведением аудита.

Расположение журнала аудита

После определения уровня и поведения аудита, вы (или администратор) можете задать расположение журнала аудита. Доступны три варианта: журнал по умолчанию, журнал приложения и журнал безопасности. Если задан журнал по умолчанию, фактический журнал зависит от используемой системы и от того, поддерживает ли система запись в журнал безопасности. Дополнительные сведения см. в разделе . в подразделе «Операционная система» далее в этом разделе.

Для записи в журнал безопасности требуются привилегии SeAuditPrivilege. По умолчанию этой привилегией обладают только учетные записи Local System и Network Service. Для управления функциями read и delete журнала безопасности требуются привилегии SeSecurityPrivilege. По умолчанию эту привилегию имеют только администраторы.

В отличие от этого, авторизованные пользователи могут производить чтение и запись журнала приложений. Windows XP по умолчанию записывает события аудита в журнал приложения. Этот журнал может также содержать персональный сведения, видимые всем авторизованным пользователям.

Подавление сбоев аудита

При аудите можно также выбрать, следует ли подавлять сбои аудита. По умолчанию сбой аудита не влияет на приложение. Однако при необходимости можно задать для этого параметра значение false, что приводит к возникновению исключения.

Программирование аудита

Поведение аудита можно задавать либо путем программирования, либо через конфигурацию.

Классы аудита

В приведенной ниже таблице описаны классы и свойства, используемые для программирования поведения аудита.

Класс

Описание

ServiceSecurityAuditBehavior	Позволяет задавать параметры аудита в виде поведения службы.
AuditLogLocation	Перечисление для задания журнала, в который требуется производить запись. Предусмотрены значения Default, Application и Security. Если выбрано значение Default, фактическое расположение журнала определяется операционной системой. См. подраздел "Выбор журнала приложения или журнала безопасности" ниже в этом разделе.
	Задает тип событий проверки подлинности сообщений для аудита на уровне сообщения. Предусмотрены варианты None, Failure, Success и SuccessOrFailure.
	Задает тип событий авторизации службы для аудита на уровне службы. Предусмотрены варианты None, Failure, Success и SuccessOrFailure.
	Задает, что происходит с запросом клиента в случае сбоя аудита. Например, если служба пытается произвести запись в журнал безопасности, но не имеет привилегий SeAuditPrivilege. Значение по умолчанию true означает, что сбои игнорируются и запрос клиента обрабатывается обычным образом.

Пример настройки приложения для регистрации событий аудита см. в разделе Практическое руководство. Аудит событий безопасности Windows Communication Foundation.

Конфигурация

Для задания поведения аудита можно также использовать конфигурацию, добавив <serviceSecurityAudit> в <поведения>. Этот элемент должен быть добавлен в <behavior> для <endpointBehaviors>, как показано в следующем коде.

<configuration> <system.serviceModel> <behaviors> <behavior> <!— auditLogLocation="Application" or "Security" -—> <serviceSecurityAudit auditLogLocation="Application" suppressAuditFailure="true" serviceAuthorizationAuditLevel="Failure" messageAuthenticationAuditLevel="SuccessOrFailure" /> </behavior> </behaviors> </system.serviceModel> </configuration>

Если аудит включен и параметр auditLogLocation не задан, для систем, поддерживающих запись в журнал безопасности, по умолчанию используется журнал "Security"; в противном случае используется журнал "Application". Только операционные системы Windows Server 2003 и Windows Vista поддерживают запись в журнал безопасности. Дополнительные сведения см. в разделе . в подразделе «Операционная система» далее в этом разделе.

Вопросы безопасности

Если злоумышленник знает о том, что включен аудит, он может отправить недопустимые сообщения, приводящие к внесению записей аудита в журнал. Если это приводит к заполнению журнала аудита, система аудита дает сбой. Для решения этой проблемы задайте свойству значение true и используйте свойства средства «Просмотр событий» для управления поведением аудита. Дополнительные сведения см. в разделе . в статье службы поддержки Майкрософт, посвященной просмотру и управлению журналами событий с помощью оснастки «Просмотр событий» в Windows XP, статья Как просматривать и управлять журналами событий в средстве «Просмотр событий» в Windows XP.

События аудита, записанные в журнал приложения в Windows XP, видны всем авторизованным пользователям.

Выбор журнала событий приложения или журнала событий безопасности

В приведенной ниже таблице приведены сведения, помогающие выбрать журнал для записи событий — журнал событий приложения или журнал событий безопасности.

Операционная система

Система

Журнал приложения

Журнал безопасности

Windows XP с пакетом обновления 2 (SP2) или более поздняя версия	Поддерживается	Не поддерживается
Windows Server 2003 SP1 и Windows Vista	Поддерживается	Контекст потока должен обладать привилегиями SeAuditPrivilege

Прочие факторы

В дополнение к операционной системе, в следующей таблице описываются другие параметры, влияющие на разрешение регистрации.

Фактор

Журнал приложения

Журнал безопасности

Управление политикой аудита	Неприменимо.	Помимо конфигурации, журнал безопасности управляется также политикой администратора локальной безопасности (LSA). Необходимо также разрешить категорию "Аудит доступа к объектам".
Взаимодействие с пользователем по умолчанию	Все авторизованные пользователи могут производить запись в журнал приложения, поэтому для процессов приложения никакие дополнительные шаги, связанные с разрешениями, не требуются.	Процесс приложения (контекст) должен иметь привилегии SeAuditPrivilege.

msdn.microsoft.com

Основы работы с журналами событий Windows

Что такое аудит безопасности в Windows?

Аудит безопасности Windows - это технические средства и мероприятия, направленные на регистрацию и систематический регулярный анализ событий, влияющих на безопасность информационных систем предприятия. Технически, аудит безопасности в Windows реализуется через настройку политик аудита и настройку аудита объектов. Политика аудита определяет какие события и для каких объектов будут генерироваться в журнал событий Безопасность. Регулярный анализ данных журнала безопасности относится к организационным мерам, для поддержки которых может применяться различное программное обеспечение. В самом простом случае можно обходиться приложением Просмотр событий. Для автоматизации задач анализа событий безопасности могут применяться более продвинутые программы и системы управления событиями безопасности (SIEM), обеспечивающие постоянный контроль журналов безопасности, обнаружение новых событий, их классификацию, оповещение специалистов при обнаружении критических событий. Наша программа Event Log Explorer также содержит набор функций для автоматизации мониторинга событий для любых журналов событий.

See also: Security event log

Как установить и настроить аудит безопасности в Windows?

Аудит безопасности Windows включается через Групповую политику (Group Policy) в Active Directory или Локальную политику безопасности. Чтобы настроить аудит на отдельном компьютере, без Active Directory, выполните следующие шаги:

• Откройте Панель управления Windows, выберите Администрирование (Administrative Tools), и затем запустите Локальная политика безопасности (Local Security Policy)
• Откройте ветвь Локальные политики и выберите Политика Аудита
• В правой панели окна Локальная политика безопасности (Local Security Policy) вы увидите список политик аудита. Двойным кликом на интересующей вас политике откройте параметры и установите флажки Аудит успехов или Аудит отказов (Success or Failure).

Так настраиваются базовые политики аудита.

Начиная с Windows 2008 R2/Windows 7, вы можете использовать Расширенные политики (Advanced Security Audit Policy):Local Security Policy -> Advanced Audit Policy Configuration -> System Audit Policies. Подробная информация про расширенные политики (Advanced Security Audit Policy) доступна тут https://technet.microsoft.com/en-us/library/dn319056.aspx

Как контролировать события входа в Windows?

Аудит безопасности Windows позволяет контроллировать события входа в систему и обнаруживать неудачные попытки входа. Система Windows генерирует такие события не только при непосредственной попытке входа в систему, но и при удаленном доступе с другого компьютера к ресурсам с общим доступом. Аудит событий входа помогает обнаруживать подозрительную активность или потенциальные атаки при администрировании и расследовании инцидентов

Для отдельного компьютера (без Active Directory) аудит событий входа настраивается так:

• Откройте ветвь Локальные политики (Local Policies) в Локальная политика безопасности (Local Security Policy)
• Выберите Audit Policy.
• Двойным кликом откройте Аудит событий входа (Audit logon events) и включите опции аудита успехов и отказов (Success и Failure).

После этого все попытки входа - успешные и неудачные будут протоколироваться в журнал событий Безопасность

Список кодов важных событий входа в систему

Event ID Текст описания события

4624	Вход с учетной записью выполнен успешно
4625	Не удалось выполнить вход с учетной записью
4648	Попытка входа в систему, используя явные учетные данные
4675	Идентификаторы безопасности были отфильтрованы

 

Подробнее с кодами событий безопасности можно ознакомиться тут https://support.microsoft.com/ru-ru/kb/977519

Как контролировать события доступа к файлам?

Средства Аудита безопасности Windows позволяют контролировать доступ к файлам, папкам, ключам реестра и другим объектам и другим системным объектам у которых есть SACL. Мониторинг доступа к файлам для файл-сервера может быть важной задачей и средства аудита безопасности Windows помогают администраторам в этом. Аудит доступа к файлам и реестру позволяет обнаруживать попытки несанкционированного доступа к файлам и предотвращать или отслеживать изменения конфигураций системы и программ.

Подробнее с кодами событий безопасности можно ознакомиться тут https://support.microsoft.com/ru-ru/kb/977519

eventlogxp.com

---

Смотрите также

• 
  Журнал техносферная безопасность
• 
  Инновационная экономика журнал
• 
  Кабельный журнал excel
• 
  Журнал электромонтажных работ
• 
  Форма вахтенного журнала
• 
  Журнал мурзилка загадки
• 
  Журнал эль мюрид
• 
  Журнал моя россия
• 
  Пионер живой журнал
• 
  Живой журнал пионер
• 
  Журнал педиатр спбгпму