Базовые политики аудита безопасности
Перед реализацией аудита необходимо выбрать политику аудита. Базовая политика аудита определяет категории связанных с безопасностью событий, которые нужно отслеживать. Если эта версия Windows установлена впервые, отключены все категории аудита. Включив различные категории событий аудита, вы можете реализовать политику аудита, которая соответствует требованиям к безопасности вашей организации.
Можно выбрать следующие категории событий для аудита.
- События аудита входа в учетную запись
- Аудит управления учетной записью
- Аудит доступа к службе каталогов
- Аудит события входа
- Аудит доступа к объектам
- Аудит изменения политики
- Аудит использования привилегий
- Аудит отслеживания процесса
- Аудит системных событий
Если вы решили отслеживать доступ к объектам в рамках политики аудита, необходимо включить категорию аудита доступа к службе каталогов (чтобы проверять объекты на контроллере домена) или категорию аудита доступа к объектам (чтобы проверять объекты на рядовом сервере или рабочей станции). После включения категории доступа к объектам вы можете указать отслеживаемые типы доступа для каждой группы или пользователя.
В этом разделе
Тема | Описание |
---|---|
Задав параметры для определенных категорий пользователей, вы можете создать политику аудита, соответствующую требованиям к безопасности для вашей организации. На устройствах, присоединенных к домену, параметры аудита для категорий событий не заданы по умолчанию. На контроллерах доменов аудит включен по умолчанию. |
|
Вы можете применять политики аудита к отдельным файлам и папкам на компьютере, настроив тип разрешения, чтобы записывать успешные или неудачные попытки доступа в журнал безопасности. |
|
В журнале безопасности фиксируются все события, определенные политиками аудита, которые вы задаете для каждого объекта. |
|
Параметры базовой политики аудита безопасности находятся в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита". |