Особенности обеспечения безопасности ос windows nt

pwdLastSet

Атрибут pwdLastSet указывает время последнего изменения пароля. Это значение хранится как большое целое число, представляющее количество интервалов в 100 наносекунд с 1 января 1601 г. (UTC).

Система использует значение этого атрибута и атрибут maxPwdAge домена, содержащего объект пользователя, для вычисления даты истечения срока действия пароля. То есть сумма pwdLastSet для пользователя и домена пользователя.

Этот атрибут определяет, должен ли пользователь изменить пароль при следующем входе пользователя. Если pwdLastSet равен нулю, по умолчанию пользователь должен изменить пароль при следующем входе. Значение указывает, что пользователю не требуется изменять пароль при следующем входе. Система устанавливает это значение после того, как пользователь установил пароль.

Проблема № 1. Неудачная система управления параметрами аудита

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Объяснение

Наименование базовых политик аудита Наименование расширенной политики аудита
Аудит доступа к службе каталогов Доступ к службе каталогов (DS)
Аудит доступа к объектам Доступ к объектам
Аудит использования привилегий Использование прав
Аудит входа в систему Вход/выход
Аудит событий входа в систему Вход учетной записи
Аудит изменения политики Изменение политики
Аудит системных событий Система
Аудит управления учетными записями Управление учетными записями
Аудит отслеживания процессов Подробное отслеживание
  1. Эффективные политики аудита — информация, хранящаяся в оперативной памяти и определяющая текущие параметры работы модулей операционной системы, реализующих функции аудита.
  2. Сохраненные политики аудита — информация, хранящаяся в реестре по адресу HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv и используемая для определения эффективных политик аудита после перезагрузки системы.
Наименование средства Отображаемые политики аудита Сохраняемые политики аудита
«Базовые политики аудита» оснастки «Локальные политики безопасности» Эффективные политики аудита Эффективные политики аудита, сохраненные политики аудита
«Расширенные политики аудита» оснастки «Локальные политики безопасности» Файл
Утилита auditpol Сохраненные параметры аудита Эффективные параметры аудита, сохраненные параметры аудита

Пример 1Пример 2Пример 3Пример 4

В чем суть проблемы?

Рассмотрим вероятный сценарий4719 «Аудит изменения политики»

  1. На атакуемой рабочей станции предоставили себе права на запись к ключу реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv и экспортировали этот ключ в файл c именем «+fs.reg».
  2. На другом компьютере импортировали данный файл, перезагрузились, а затем с помощью auditpol отключили аудит файловой системы, после чего экспортировали указанный выше ключ реестра в файл «-fs.reg».
  3. На атакуемой машине импортировали в реестр файл «-fs.reg».
  4. Создали резервную копию файла %SystemRoot%\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit.csv, расположенного на атакуемой машине, а затем удалили из него подкатегорию «Файловая система».
  5. Перезагрузили атакуемую рабочую станцию, а затем подменили на ней файл %SystemRoot%\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit.csv ранее сохраненной резервной копией, а также импортировали в реестр файл «+fs.reg»

Журналы событий в Windows 7

В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб. Журналы Windows – используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб – используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку «Просмотр событий» или программу командной строки wevtutil, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже:

Приложение – хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересылаемые события – если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer – в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell – в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

События оборудования – если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям.

Утилита Sysmon

Кроме задействования штатного функционала подсистемы журналирования, можно воспользоваться и официальной бесплатной утилитой Sysmon из пакета Microsoft Windows Sysinternals, которая существенно расширяет и дополняет возможности мониторинга ОС. Данная утилита дает возможность проводить аудит создания файлов, ключей реестра, процессов и потоков, а также осуществлять мониторинг загрузки драйверов и библиотек, сетевых подключений, WMI-событий и именованных каналов. Из особо полезных функций отметим возможность утилиты показывать родительский процесс и командную строку процесса, отображать значение хэш-сумм при событиях создания процесса и загрузки драйверов и библиотек с указанием наличия и действительности цифровой подписи. Несложным путем можно автоматизировать сравнение полученных хэш-сумм с индикаторами компрометации (IoCs, Indicator of Compromise) из данных фидов CyberThreat Intelligence, а также использовать приложение QVTI для IBM QRadar, с помощью которого хэши запускаемых файлов автоматически проверяются через сервис VirusTotal. Еще одной приятной опцией является возможность создания XML-конфигураций, в которых можно предельно четко указать объекты контроля и настройки работы Sysmon. Одними из наиболее продвинутых и детальных вариантов XML-конфигураций, с нашей точки зрения, являются конфиги  https://github.com/ion-storm/sysmon-config и https://github.com/SwiftOnSecurity/sysmon-config .

Установка Sysmon предельно проста и также может быть легко автоматизирована:

1. Дистрибутив скачивается с https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Все исполняемые файлы подписаны.

2. Создается или скачивается по приведенным выше ссылкам xml-файл с конфигурацией Sysmon.

3. Установка sysmon для x64 производится командой:

C:\folder\sysmon64.exe -accepteula -i C:\folder\sysmonconfig-export.xml , где sysmonconfig-export.xml – файл конфигурации, sysmon64.exe  –  файл-установщик.

Поддерживается запуск установки из сетевой папки.

4. После установки создается журнал Microsoft-Windows-Sysmon/Operational , размер которого мы сразу рекомендуем увеличить как минимум до 100 Мб.

Перезапуск устройства не требуется, Sysmon работает в виде сервиса, его исполняемый файл находится в C:\Windows\sysmon64.exe . По нашим подсчетам, footprint на конечной системе даже при использовании максимально детального конфига Sysmon не превышает 5-10% ЦПУ и около 100 Мб ОЗУ.

XPath-запросы

Наконец, выполнив необходимые настройки файлов журналов Windows, перейдем непосредственно к поиску интересующей информации. Заметим, что в случае включения всех рекомендованных политик аудита ИБ сами журналы событий становятся достаточно объемными, поэтому поиск по их содержимому может быть медленным (этих недостатков лишены специализированные решения, предназначенные в том числе для быстрого поиска информации — Log Management и SIEM-системы). Отметим также, что по умолчанию не все журналы Windows отображаются к графической оснастке (eventvwr.msc), поэтому в данной оснастке следует перейти в меню «Вид» и отметить check-box  «Отобразить аналитический и отладочный журналы».

Итак, поиск по журналам аудита будем осуществлять с помощью встроенного редактора запросов XPath (XPath queries). Открыв интересующий нас журнал, например, журнал безопасности Windows (вкладка «Журналы Windows» -> «Безопасность» / Security), нажатием правой кнопки мыши на имени журнала выберем пункт «Фильтр текущего журнала». Нам откроется графический редактор поисковых запросов, при этом для наиболее продуктивной работы следует открыть вторую вкладку открывшегося окна с названием XML, отметив внизу check-box «Изменить запрос вручную». Нам будет предложено изменить XML-текст (по сути, XPath запрос) в соответствии с нашими критериями поиска.

Результат запроса будет также представляться в различных формах, но для лучшего понимания и получения детального контента в конкретном событии рекомендуем переключиться на вкладку  «Подробности», а там выбрать radio-button  «Режим XML», в котором в формате  «ключ-значение» будут представлены данные события безопасности.

Приведем несколько полезных XPath запросов с комментариями.

1. Поиск по имени учетной записи в журнале Security — возьмем для примера имя Username:

 2. Поиск по значению конкретного свойства события в журнале Sysmon — возьмем для примера поиск событий, в которых фигурировал целевой порт 443:

3. Произведем поиск сразу по двум условиям — возьмем для примера событие входа с EventID=4624 и имя пользователя Username:

4. Поиск по трем условиям — дополнительно укажем Logon Type = 2, что соответствует интерактивному входу в ОС:

5. Рассмотрим функционал исключения из выборки данных по определенным критериям — это осуществляется указанием оператора Suppress с условиями исключения. В данном примере мы исключим из результатов поиска по фактам успешного входа (EventID=4624) все события, которые имеют отношения к системным учетным записям (SID S-1-5-18/19/20) с нерелевантным для нас типам входа (Logon Type = 4/5), а также применим функционал задания условий поиска с логическим оператором  «ИЛИ», указав не интересующие нас имя процесса входа (Advapi) и методы аутентификации (Negotiate и NTLM):

Настройка параметра политики аудита для контроллера домена

По умолчанию аудит отключен. Для контроллеров домена параметр политики аудита настраивается для всех контроллеров домена в домене. Для аудита событий, происходящих на контроллерах домена, настройте параметр политики аудита, который применяется ко всем контроллерам домена в не локальном объекте групповая политика (GPO) для домена. Доступ к этому параметру политики можно получить в подразделении контроллеров домена. Чтобы проверить доступ пользователей к объектам Active Directory, настройте категорию событий Audit Directory Service Access в параметре политики аудита.

Примечание.

  • Необходимо предоставить пользователю журнала аудита и безопасности право на компьютер, на котором необходимо настроить параметр политики аудита или просмотреть журнал аудита. По умолчанию Windows Server 2003 предоставляет эти права группе администраторов.
  • Файлы и папки, которые требуется проверить, должны находиться на томах файловой системы Windows NT Майкрософт (NTFS).

Чтобы настроить параметр политики аудита для контроллера домена, выполните следующие действия.

  1. Выберите «Запуск>программ администрирования>», а затем выберите Пользователи и компьютеры Active Directory.

  2. В меню «Вид » выберите » Дополнительные функции».

  3. Щелкните правой кнопкой мыши контроллеры домена и выберите пункт «Свойства».

  4. Выберите вкладку групповая политика, выберите политику контроллера домена по умолчанию, а затем нажмите кнопку «Изменить».

  5. Выберите «Конфигурация компьютера», дважды щелкните «Параметры Windows», дважды щелкните «Параметры безопасности «, дважды щелкните «Локальные политики «, а затем дважды щелкните » Политика аудита».

  6. В правой области щелкните правой кнопкой мыши audit Directory Services Access и выберите пункт «Свойства».

  7. Выберите «Определить эти параметры политики», а затем установите один или оба следующих флажка:

    • Успешно. Установите этот флажок, чтобы проверить успешные попытки для категории событий.
    • Сбой. Установите этот флажок для аудита неудачных попыток для категории событий.
  8. Щелкните правой кнопкой мыши любую другую категорию событий, которую требуется проверить, а затем выберите «Свойства».

  9. Нажмите кнопку ОК.

  10. Изменения, внесенные в параметр политики аудита компьютера, вступает в силу только в том случае, если параметр политики распространяется или применяется к компьютеру. Выполните одно из следующих действий, чтобы инициировать распространение политики:

    • Введите в командной строке и нажмите клавишу ВВОД.
    • Дождитесь автоматического распространения политики, которое происходит через регулярные интервалы, которые можно настроить. По умолчанию распространение политики происходит каждые пять минут.
  11. Откройте журнал безопасности, чтобы просмотреть зарегистрированные события.

    Примечание.

    Если вы либо домен, либо администратор предприятия, вы можете включить аудит безопасности для рабочих станций, серверов-членов и контроллеров домена удаленно.

Как проверить, заблокирована ли учётная запись пользователя?

Проверить, заблокирована ли учётная запись, можно в графической консоли ADUC или с помощью командлета Get-ADUser из модуля Active Directory для PowerShell:

Get-ADUser -Identity Alex -Properties LockedOut,DisplayName | Select-Object samaccountName,displayName,Lockedout

Учётная запись в данный момент заблокирована и не может использоваться для аутентификации в домене (Lockedout = True).

Вы можете вывести список всех заблокированных на данный момент учётных записей в домене с помощью командлета Search-ADAccount:

Search-ADAccount -LockedOut

Вы можете разблокировать учётную запись вручную с помощью консоли ADUC, не дожидаясь автоматической разблокировки. Найдите учётную запись пользователя, щёлкните правой кнопкой мыши и выберите Properties («Свойства»). Перейдите на вкладку Account («Учётная запись») и установите флажок Unlock account. This account is currently locked out on this Active Directory Domain Controller (в русскоязычной версии «Разблокируйте учётную запись. Учётная запись на этом контроллере домена Active Directoryв на данный момент заблокирована»). Затем кликните «ОК».

Вы также можете сразу разблокировать нужную учётную запись, используя следующую команду PowerShell:

Get-ADUser -Identity Alex | Unlock-ADAccount

Вы можете проверить время блокировки учётной записи, количество неудачных попыток ввода пароля, время последнего успешного входа в систему в свойствах учётной записи в консоли ADUC (на вкладке Attribute Editor «Редактора атрибутов»)

или с помощью PowerShell:

Get-ADUser Alex -Properties Name,lastLogonTimestamp,lockoutTime,logonCount,pwdLastSet | Select-Object Name,@{n='LastLogon';e={::FromFileTime($_.lastLogonTimestamp)}},@{n='lockoutTime';e={::FromFileTime($_.lockoutTime)}},@{n='pwdLastSet';e={::FromFileTime($_.pwdLastSet)}},logonCount

Что такое аудит безопасности Windows и зачем его использовать?

Аудит безопасности — это методическая проверка и проверка действий, которые могут повлиять на безопасность системы. В операционных системах Windows аудит безопасности — это функции и службы, которые администратор может регистрировать и проверять события для указанных действий, связанных с безопасностью.

Сотни событий происходят по мере того, как операционная система Windows и запущенные в ней приложения выполняют свои задачи. Мониторинг этих событий может предоставить ценные сведения, помогающие администраторам устранять неполадки и исследовать действия, связанные с безопасностью.

РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ WINDOWS NT

Для повышения защищенности ОС Windows NT, рекомендуется принять следующие меры:

  • Обеспечить безопасность помещений, где размещены серверы сети; ограничить посторонним лицам физический доступ к серверам, коммутаторам, сетевым кабелям и прочему оборудованию; использовать средства защиты от сбоев электросети.
  • Настроить идентификацию и аутентификацию пользователя при входе в систему.
  • Установить сложные пароли с коротким сроком действия для всех пользователей.
  • Настроить разграничение прав доступа к ресурсам (к объектам файловой системы, к устройствам, к реестру и т.д.).
  • Настроить регистрацию событий.
  • Настроить сервер SMB.
  • Использовать безопасные сетевые каналы, базирующиеся на стандарте SSL.
  • Использовать файловую систему с шифрованием.

Но в основном модель безопасности Windows NT базируется на концепции пользовательских аккаунтов. Можно создать неограниченное количество пользовательских аккаунтов и сгруппировать их наиболее удобным методом. После этого для аккаунта или группы необходимо представить или ограничить доступ к любому из ресурсов компьютера. 

Анализ журнальных файлов

Журнальные файлы, создаваемые демоном auditd в каталоге /var/log/audit, не предназначены для чтения человеком, но хорошо подходят для анализа с помощью специальных утилит, устанавливаемых вместе с самим демоном. Самая важная из них – утилита aureport, генерирующая отчеты из лог-файлов. Вызвав ее без аргументов, мы узнаем общую статистику использования системы, включая такие параметры, как количество входов и выходов из системы, открытых терминалов, системных вызовов и т.д. Эта информация малоинтересна, поэтому лучше запросить более детальный отчет. Например, запустив команду с флагом ‘-f’, мы получим список файлов, к которым происходил доступ:

Скорее всего вывод будет слишком длинным, но его можно сократить с помощью запроса информации только за определенный период времени (аргумент ‘—end’ не обязателен):

Кроме числового значения времени можно использовать следующие специальные сокращения: now (сейчас), recent (десять минут назад), today (начиная с полуночи), yesterday (вчерашние сутки), this-week (неделя), this-month (месяц) или this-year (год). Вывод команды разбит на несколько столбцов, которые имеют следующие значения (слева направо):

  1. Просто числовой индекс;
  2. Дата возникновения события;
  3. Время возникновения события;
  4. Имя файла;
  5. Номер системного вызова (чтобы увидеть его имя, используй флаг ‘-i’);
  6. Успешность системного вызова (yes или no);
  7. Имя процесса, вызвавшего событие;
  8. Audit UID (AUID). О нем читай ниже;
  9. Номер события.

Вывод этой команды также можно существенно сократить, если указать флаг ‘—summary’, который заставляет aureport выводить не все случаи доступа к файлом, а только их общее количество по отношению к каждому из файлов:

Вывод команды будет разбит на две колонки, первая из которых отражает количество попыток доступа к файлу (успешных или нет), а вторая – его имя. Просматривая суммарный отчет использования файлов и заметив подозрительную попытку доступа к одному из системных/скрытых/личных файлов, можно вновь вызвать aureport, чтобы найти процесс, который произвел эту попытку:

Получив список всех попыток доступа и номера событий, каждое из них можно проанализировать индивидуально с помощью утилиты ausearch:

Также ausearch можно использовать для поиска событий по именам системных вызовов:

Идентификаторам пользователей:

Именам исполняемых файлов:

Имени терминала:

Именам демонов:

Или ключам поиска:

Вывод ausearch также может быть сокращен с помощью использования временных промежутков, наподобие тех, что мы использовали при вызове aureport. Сам aureport позволяет генерировать отчеты не только по использованию файлов, но и многих других типов событий, как, например, системные вызовы (флаг ‘-s’), попытки аутентификации (флаг ‘-au’) , успешные логины (флаг ‘-l’), модификации аккаунта (флаг ‘-m’) и многих других (полный список смотри в man-странице). Отчеты можно получать только для событий, завершившихся неудачно (флаг ‘—failed’).

Проблема № 1. Неудачная система управления параметрами аудита

Наличие проблемы подтверждено на Windows 7/10/Server 2019.

Объяснение

Наименование базовых политик аудита Наименование расширенной политики аудита
Аудит доступа к службе каталогов Доступ к службе каталогов (DS)
Аудит доступа к объектам Доступ к объектам
Аудит использования привилегий Использование прав
Аудит входа в систему Вход/выход
Аудит событий входа в систему Вход учетной записи
Аудит изменения политики Изменение политики
Аудит системных событий Система
Аудит управления учетными записями Управление учетными записями
Аудит отслеживания процессов Подробное отслеживание
  1. Эффективные политики аудита — информация, хранящаяся в оперативной памяти и определяющая текущие параметры работы модулей операционной системы, реализующих функции аудита.
  2. Сохраненные политики аудита — информация, хранящаяся в реестре по адресу HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv и используемая для определения эффективных политик аудита после перезагрузки системы.
Наименование средства Отображаемые политики аудита Сохраняемые политики аудита
«Базовые политики аудита» оснастки «Локальные политики безопасности» Эффективные политики аудита Эффективные политики аудита, сохраненные политики аудита
«Расширенные политики аудита» оснастки «Локальные политики безопасности» Файл
Утилита auditpol Сохраненные параметры аудита Эффективные параметры аудита, сохраненные параметры аудита

Пример 1Пример 2Пример 3Пример 4

В чем суть проблемы?

Рассмотрим вероятный сценарий

  1. На атакуемой рабочей станции предоставили себе права на запись к ключу реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv и экспортировали этот ключ в файл c именем «+fs.reg».
  2. На другом компьютере импортировали данный файл, перезагрузились, а затем с помощью auditpol отключили аудит файловой системы, после чего экспортировали указанный выше ключ реестра в файл «-fs.reg».
  3. На атакуемой машине импортировали в реестр файл «-fs.reg».
  4. Создали резервную копию файла %SystemRoot%\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit.csv, расположенного на атакуемой машине, а затем удалили из него подкатегорию «Файловая система».
  5. Перезагрузили атакуемую рабочую станцию, а затем подменили на ней файл %SystemRoot%\System32\GroupPolicy\Machine\Microsoft\Windows NT\Audit\audit.csv ранее сохраненной резервной копией, а также импортировали в реестр файл «+fs.reg»

Справочные материалы

Если этот параметр политики включен, при создании системных объектов, таких как мьютексы, события, семафоры и устройства MS-DOS, применяется список управления доступом по умолчанию (SACL). Если также включить параметр Аудит аудита доступа к объектам , доступ к этим системным объектам будет проверен.

Глобальные системные объекты, также называемые «базовыми системными объектами» или «базовыми именоваемыми объектами», представляют собой временные объекты ядра, которым были присвоены имена, присвоенные им приложением или системным компонентом, который их создал. Эти объекты чаще всего используются для синхронизации нескольких приложений или нескольких частей сложного приложения. Поскольку они имеют имена, эти объекты являются глобальными по области и, следовательно, видимыми для всех процессов на устройстве. Все эти объекты имеют дескриптор безопасности; но обычно они не имеют ЗНАЧЕНИЯ SACL NULL. Если этот параметр политики включен и он вступает в силу во время запуска, ядро назначает этому объекту SACL при их создании.

Угроза заключается в том, что глобально видимый объект, если он некорректно защищен, может действовать с помощью вредоносной программы, которая знает имя объекта. Например, если объект синхронизации, такой как мьютекс, имеет плохо сформированный список управления доступом (DACL), то вредоносная программа может получить доступ к мьютексу по имени и вызвать сбой созданной программы. Однако риск возникновения этой проблемы очень низок.

Включение этого параметра политики может привести к возникновению большого количества событий безопасности, особенно на загруженных контроллерах домена и серверах приложений. Это может привести к медленному реагированию серверов и заставить журнал безопасности записывать многочисленные события, малозначимые. Аудит доступа к глобальным системным объектам является делом «все или ничего»; Нет способа отфильтровать, какие события записываются, а какие нет. Даже если в организации есть ресурсы для анализа событий, созданных при включении этого параметра политики, маловероятно, что исходный код или описание того, для чего используется каждый именованный объект. Поэтому маловероятно, что многие организации смогут воспользоваться этим параметром политики.

Рекомендации

Используйте параметр расширенной политики аудита безопасности — Аудит объекта ядра в параметрах расширенной политики аудита безопасности\Доступ к объектам, чтобы уменьшить количество создаваемых несвязанных событий аудита.

Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Тип сервера или объект групповой политики (GPO) Значение по умолчанию
Default Domain Policy Не определено
Политика контроллера домена по умолчанию Не определено
Параметры по умолчанию для автономного сервера Отключено
Действующие параметры по умолчанию контроллера домена Отключено
Действующие параметры по умолчанию для рядового сервера Отключено
Действующие параметры по умолчанию для клиентского компьютера Отключено
Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Работатека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: