Вы здесь

Главная » Помощь и инструкции » Защита от компьютерных атак

Политика аудита Windows

Порядок настройки

  1. Увеличить размер журнала Безопасность до 64 МБ минимум
    1. Запустите оснастку Просмотр событий (Панель управления - Администрирование или Win+R eventvwr.msc)
    2. Найдите журнал Безопасность (может быть в папке Журналы Windows), зайдите в его свойства
    3. Параметр Максимальный размер журнала установите в 64000 или больше, примените изменения
  2. Настроить политики аудита
    1. Настройка производится либо в групповых политиках (если настроен домен Active Directory), либо локально на компьютере в оснастке Локальная политика безопасности (Панель управления - Администрирование или Win+R - secpol.msc)
    2. В Windows Vista и выше настраиваются как политики аудита, так и конфигурация расширенной политики аудита
  3. Перезагрузить компьютер или выполнить в командной строке gpupdate /force 
  4. Проверить что журнал Безопасность не забивается множеством непонятных записей (например, от платформы фильтрации). Если они есть — проверьте все пункты настройки политик.

Рекомендуемые параметры для АРМ

Локальные политики\Политика аудита (для Windows XP и выше)

  • Аудит входа в систему — Успех и отказ
  • Аудит отслеживания процессов — Успех
  • Аудит событий входа — Успех и отказ
  • Аудит управления учетными записями — Успех

Конфигурация расширенной политики аудита (для Windows Vista и выше) — все, что не указано рекомендуется ставить в "Нет аудита"

  • Вход учетной записи
    • Аудит службы проверки подлинности Kerberos — Успех и отказ
    • Аудит проверки учетных данных — Успех и отказ
  • Управление учетными записями
    • Аудит управления группами безопасности — Успех
    • Аудит других событий управления учетными записями — Успех
    • Аудит управление учетными записями пользователей —  Успех и отказ
  • Подробное отслеживание
    • Аудит создания процессов — Успех
    • Аудит завершения процессов — Успех
  • Вход/выход
    • Аудит выхода из системы — Успех
    • Аудит входа в систему — Успех и отказ
    • Аудит специального входа — Успех
  • Доступ к объектам
    • Аудит общих папок — Успех
    • Аудит файловой системы — Успех
    • Аудит подключения платформы фильтрации — Нет аудита
    • Аудит отбрасывания пакетов платформой фильтрации — Нет аудита
  • Изменение политики
    • Аудит изменения политики аудита — Успех
    • Аудит изменения политики проверки подлинности — Успех
  • Система
    • Аудит других системных событий — Успех и отказ
    • Аудит изменения состояния безопасности — Успех