Элементы аудита как убрать все
Перейти к содержимому

Элементы аудита как убрать все

  • автор:

Элементы аудита как убрать все

Не так давно мне нужно было отловить некоторые хитрые события связанные с аутентификацией на домен-контроллерах. Для решения этой задачи пришлось включить с помощью групповых политик так называемый расширенный аудит, который появился в Windows Server 2008 R2 и Windows 7. Можно настроить 53 события аудита! Есть где разгуляться!

Эти события пишутся в отдельный журнал Microsoft-Windows-Audit; при этом журнал Security больше не пополняется новыми событиями аудита – прежняя система аудита отключается полностью.

Когда мое исследование было завершено, я выставил параметры расширенного аудита в групповой политике в «Not configured». К моему удивлению после применения политик к домен-контроллерам в журнал Security события аудита не начали поступать – классическая система аудита не включилась. Загадка!

В библиотеке Technet была найдена статья, которая ясно описывала шаги по отключению расширенного аудита:

1.Set all Advanced Audit Policy sub-categories to Not configured.

2.Delete all audit.csv files from the %SYSVOL% folder on the domain controller.

3.Reconfigure and apply the basic audit policy settings.

И так первый шаг мной уже сделан. Удалил файл audit.csv и обновил политики на домен-контроллерах. Не помогло!

Поискал файл audit.csv локально на домен-контроллере и нашел в двух местах C:\Windows\System32\GroupPolicy\ и C:\Windows\security\audit. Обновил политики – не помогло. Чудеса!

Ключевым оказалось слово Reconfigure из третьего пункта: каждую настройку классического аудита в групповой политике надо выключить, сохранить, включить заново и опять сохранить. Затем применить обновленную политику. (Может достаточно передернуть одну настройку аудита, чтобы раздел GPO обновился и применился?)

Сразу после этого в журнал Security на домен-контроллерах полетели события.

1.2.2 Очистка аудиторских записей из аудиторского журнала

После того, как проверка включена в течение некоторого времени, администратор может удалить записи из журнала, — как для того, чтобы освободить память, так и для облегчения управления этим журналом. Если информация журнала должна архивироваться для целей накопления истории, администратор может скопировать соответствующие записи.

1.2.3 Защита журнала проверки

Осуществляя отслеживание подозрительной деятельности в информационной системе, следует защищать целостность записей журнала проверки, чтобы гарантировать точность и полноту информации.

1.3. Службы администрирования

1.3.1 Служба соблюдения правил эксплуатации

Обязанности администратора: обеспечить правильную и надежную работу информационной системы.

Администратор должен определить обязанности и процедуры по администрированию и обеспечению функционирования компьютеров и сетей. Они должны быть зафиксированы в инструкциях и процедурах реагирования на инциденты. Для уменьшения риска некорректных или несанкционированных действий администратору следует применять принцип разделения обязанностей.

1 3.2 Службы проектирования и приемки информационных систем

Обязанности администратора: свести риск отказов информационных систем к минимуму.

Администратор обязан учитывать, что для обеспечения доступности ресурсов и необходимой производительности информационных систем требуется предварительное планирование и подготовка. Для уменьшения риска перегрузки систем необходимо учитывать будущие потребности и необходимую производительность. Эксплуатационные требования к новым системам следует определять, документировать и проверять до их приемки. Должны быть выработаны требования к переходу на аварийный режим для сервисов, поддерживающих несколько приложений.

1 3.3 Служба защиты от вредоносного программного обеспечения

Обязанности администратора: обеспечить целостность данных и программ.

Для предотвращения и выявления случаев внедрения вредоносного программного обеспечения администратору требуется принятие соответствующих мер предосторожности. В настоящее время существует целый ряд вредоносных программ («компьютерные вирусы», «сетевые черви», «троянские кони» и «логические бомбы»), которые используют уязвимость программного обеспечения по отношению к несанкционированной модификации. Администраторы информационных систем должны быть всегда готовы к проникновению вредоносного программного обеспечения в информационные системы и принимать специальные меры по предотвращению или обнаружению его внедрения. В частности, важно принять меры предосторожности для предотвращения и обнаружения компьютерных вирусов на персональных компьютерах.

1.3.4 Служба обслуживания систем

Обязанности администратора: обеспечить целостность и доступность информационных сервисов.

Для поддержания целостности и доступности сервисов администратору требуется выполнение некоторых служебных процедур: должны быть сформированы стандартные процедуры резервного копирования, регистрации событий и сбоев, а также контроля условий функционирования оборудования.

1.3.5 Сетевая служба

Обязанности администратора: обеспечить защиту информации в сетях.

Управление безопасностью сетей, отдельные сегменты которых находятся за пределами организации, требует особого внимания. Для защиты конфиденциальных данных, передаваемых по открытым сетям, могут потребоваться специальные меры.

1.3.6 Служба защиты носителей информации

Обязанности администратора: предотвратить повреждение информационных ресурсов и перебои в работе организации.

Необходимо контролировать носители информации и обеспечивать их физическую защиту. Следует определять процедуры для защиты носителей информации (магнитные ленты, диски, кассеты), входных/выходных данных и системной документации от повреждения, хищения и несанкционированного доступа.

1.3.7 Служба обмена данными и программным обеспечением

Обязанности администратора: предотвратить потери, модификацию и несанкционированное использование данных.

Администратору следует контролировать, чтобы обмены данными и программами между организациями осуществлялись на основе формальных соглашений. Должны быть установлены процедуры и стандарты для защиты носителей информации во время их транспортировки. Необходимо уделять внимание обеспечению безопасности при использовании электронного обмена данными и сообщениями электронной почты.

1.4. Категории администраторов

1.4.1 Администратор

Администратор в Windows– это пользователь, ответственный за настройку и управление контроллерами домена и локальными компьютерами, ведение учетных записей пользователей и групп, присвоение паролей и разрешений, а также помогающий пользователям работать в сети. Администраторы являются членами одноименной группы и обладают полным доступом к домену или компьютеру. Пользователь, который имеет право вносить на компьютере изменения, на уровне системы, устанавливать программное обеспечение и имеет доступ ко всем файлам на компьютере. Пользователь с учетной записью администратора компьютера имеет полный доступ к другим учетным записям пользователей на компьютере.

Аудит удаления и доступа к файлам и запись событий в лог-файл средствами Powershell


Я думаю, многие сталкивались с задачей, когда к Вам приходят и спрашивают: «У нас тут файл пропал на общем ресурсе, был и не стало, похоже кто-то удалил, Вы можете проверить кто это сделал?» В лучшем случае вы говорите, что у вас нет времени, в худшем пытаетесь найти в логах упоминание данного файла. А уж когда включен файловый аудит на файловом сервере, логи там, мягко говоря «ну очень большие», и найти что-то там — нереально.
Вот и я, после очередного такого вопроса (ладно бекапы делаются несколько раз в день) и моего ответа, что: «Я не знаю кто это сделал, но файл я Вам восстановлю», решил, что меня это в корне не устраивает…

Начнем.

Для начала включим к групповых политиках возможность аудита доступа к файлам и папкам.
Локальные политики безопасности->Конфигурация расширенной политики безопасности->Доступ к объектам
Включим «Аудит файловой системы» на успех и отказ.
После этого на необходимые нам папки необходимо настроить аудит.
Проходим в свойства папки общего доступа на файловом сервере, переходим в закладку «Безопасность», жмем «Дополнительно», переходим в закладку «Аудит», жмем «Изменить» и «Добавить». Выбираем пользователей для которых вести аудит. Рекомендую выбрать «Все», иначе бессмысленно. Уровень применения «Для этой папки и ее подпапок и файлов».
Выбираем действия над которыми мы хотим вести аудит. Я выбрал «Создание файлов/дозапись данных» Успех/Отказ, «Создание папок/дозапись данных» Успех/отказ, Удаление подпапок и файлов и просто удаление, так же на Успех/Отказ.
Жмем ОК. Ждем применения политик аудита на все файлы. После этого в журнале событий безопасности, будет появляться очень много событий доступа к файлам и папкам. Количество событий прямопропорционально зависит от количества работающих пользователей с общим ресурсом, и, конечно же, от активности использования.

Итак, данные мы уже имеем в логах, остается только их оттуда вытащить, и только те, которые нас интересуют, без лишней «воды». После этого акурратно построчно занесем наши данные в текстовый файл разделяя данные симовлами табуляции, чтобы в дальнейшем, к примеру, открыть их табличным редактором.

А теперь очень интересный скрипт.

Скрипт пишет лог об удаленных файлах.

Как оказалось при удалении файлов и удалении дескрипторов создается одно и тоже событие в логе, под При этом в теле сообщения могут быть разные значения «Операции доступа»: Запись данных (или добавление файла), DELETE и т.д.
Конечно же нас интересует операция DELETE. Но и это еще не все. Самое интересное, то что, при обычном переименовании файла создается 2 события с ID 4663, первое с Операцией доступа: DELETE, а второе с операцией: Запись данных (или добавление файла). Значит если просто отбирать 4663 то мы будем иметь очень много недостоверной информации: куда попадут файлы и удаленные и просто переименованные.
Однако мной было замечено, что при явном удалении файла создается еще одно событие с ID 4660, в котором, если внимательно изучить тело сообщения, содержится имя пользователя и еще много всякой служебной информации, но нет имени файла. Зато есть код дескриптора.


Однако предшествующим данному событию было событие с ID 4663. Где как раз таки и указывается и имя файла, и имя пользователя и время, и операция как не странно там DELETE. И самое главное там имеется номер дескриптора, который соответствует номеру дескриптора из события выше (4660, помните? которое создается при явном удалении файла). Значит теперь, чтобы точно знать какие файлы удалены, необходимо просто найти все события с ID 4660, а так же предшествующие каждому этому событию, событие с кодом 4663, в котором будет содержаться номер нужного дескриптора.

Эти 2 события генерируются одновременно при удалении файла, но записываются последовательно, сначала 4663, потом 4660. При этом их порядковые номера различаются на один. У 4660 порядковый номер на единицу больше чем у 4663.
Именно по этому свойству и ищется нужное событие.

Т.е. берутся все события с ID 4660. У них берется 2 свойства, время создания и порядковый номер.
Далее в цикле по одному берется каждое событие 4660. Выбирается его свойства, время и порядковый номер.
Далее в переменную $PrevEvent заносится номер нужного нам события, где содержится нужная информация об удаленном файле. А так же определяются временные рамки в которых необходимо искать данное событие с определенным порядковым номером (с тем самым который мы занесли в $PrevEvent). Т.к. событие генерируется практически одновременно, то поиск сократим до 2х секунд: + — 1 секунда.
(Да, именно +1 сек и -1 сек, почему именно так, не могу сказать, было выявлено экспериментально, если не прибавлять секунду, то некоторые может не найти, возможно связано с тем, что возможно два эти события могут создаваться один раньше другой позже и наоборот).
Сразу оговорюсь, что искать только по порядковому номеру по всем событиям в течении часа — очень долго, т.к. порядковый номер находиться в теле события, и чтобы его определить, нужно пропарсить каждое событие — это очень долго. Именно поэтому необходим такой маленький период в 2 секунда (+-1сек от события 4660, помните?).
Именно в этом временном промежутке ищется событие с необходимым порядковым номером.
После того как оно найдено, работают фильтры:

Т.е. не записываем информацию об удаленных временных файлах (.*tmp), файлах блокировок документов MS Office (.*lock), и временных файлах MS Office (.*

$*)
Таким же образом берем необходимые поля из этого события, и пишем их в переменную $BodyL.
После нахождения всех событий, пишем $BodyL в текстовый файл лога.

Для лога удаленных файлов я использую схему: один файл на один месяц с именем содержащим номер месяца и год). Т.к. удаленных файлов в разы меньше чем файлов к которым был доступ.

В итоге вместо бесконечного «рытья» логов в поисках правды, можно открыть лог-файл любым табличным редактором и просмотреть нужные нам данные по пользователю или файлу.

Рекомендации

Вам придется самим определить время в течении которого вы будете искать нужные события. Чем больше период, тем дольше ищет. Все зависит от производительности сервера. Если слабенький — то начните с 10 минут. Посмотрите, как быстро отработает. Если дольше 10 минут, то либо увеличьте еще, вдруг поможет, либо наоборот уменьшите период до 5 минут.

После того как определите период времени. Поместите данный скрипт в планировщик задач и укажите, что выполнять данный скрипт необходимо каждые 5,10,60 минут (в зависимости какой период вы указали в скрипте). У меня указано каждый 60 минут. $time = (get-date) — (new-timespan -min 60).

Аудит доступа к файлам и папкам в Windows Server 2008 R2

date04.05.2016
useritpro
directoryWindows Server 2008
commentsкомментарий 21

Для ведения аудита доступа к файлам и папкам в Windows Server 2008 R2, необходимо включить функцию аудита, а также указать папки и файлы, доступ к которым необходимо фиксировать. После настройки аудита, в журнале сервера будет содержаться информация о доступе и других событиях на выбранные файлы и папки. Стоит заметить, что аудит доступа к файлам и папкам может вестись только на томах с файловой системой NTFS.

Включаем аудит на объекты файловой системы в Windows Server 2008 R2

Аудит доступа на файлы и папки включается и отключается при помощи групповых политик: доменный политик для домена Active Directory либо локальных политик безопасности для отдельно стоящих серверов. Чтобы включить аудит на отдельном сервере, необходимо открыть консоль управления локальный политик Start -> All Programs -> Administrative Tools -> Local Security Policy. В консоли локальной политики нужно развернуть дерево локальный политик (Local Policies) и выбрать элемент Audit Policy.

windows server 2008 r2 configuring local audit policy

В правой панели нужно выбрать элемент Audit Object Access и в появившемся окне указать какие типы событий доступа к файлам и папкам нужно фиксировать (успешный/ неудачный доступ):

setting the audit object properties to enable file and folder access tracking

После выбора необходимой настройки нужно нажать OK.

Выбор файлов и папок, доступ к которым будет фиксироваться

После того, как активирован аудит доступа к файлам и папкам, необходимо выбрать конкретные объекты файловой системы, аудит доступа к которым будет вестись. Так же как и разрешения NTFS, настройки аудита по-умолчанию наследуются на все дочерние объекты (если не настроено иначе). Точно так же, как при назначении прав доступа на файлы и папки, наследование настроек аудита может быть включено как для всех, так и только для выбранных объектов.

Чтобы настроить аудит для конкретной папки/файла, необходимо щелкнуть по нему правой кнопкой мыши и выбрать пункт Свойства (Properties). В окне свойств нужно перейти на вкладку Безопасность (Security) и нажать кнопку Advanced. В окне расширенных настроек безопасности (Advanced Security Settings) перейдем на вкладку Аудит (Auditing). Настройка аудита, естественно, требует прав администратора. На данном этапе в окне аудита будет отображен список пользователей и групп, для которых включен аудит на данный ресурс:

the file and folder auditing entries dialog

Чтобы добавить пользователей или группы, доступ которых к данному объекту будет фиксироваться, необходимо нажать кнопку Add… и указать имена этих пользователей/групп (либо указать Everyone – для аудита доступа всех пользователей):

configuring file and folder auditing for a specific user or group

Далее нужно указать конкретные настройки аудита (такие события, как доступ, запись, удаление, создание файлов и папок и т.д.). После чего нажимаем OK.

Сразу после применения данных настроек в системном журнале Security (найти его можно в оснастке Computer Management -> Events Viewer), при каждом доступе к объектам, для которых включен аудит, будут появляться соответствующие записи.

Альтернативно события можно просмотреть и отфильтровать с помощью командлета PowerShell — Get-EventLog Например, чтобы вывести все события с eventid 4660, выполним комманду:

UPD от 06.08.2012 (Благодарим комментатора Roman).

В Windows 2008/Windows 7 для управления аудитом появилась специальная утилита auditpol. Полный список типов объектов, на который можно включить аудит можно увидеть при помощи команды:

Как вы видите эти объекты разделены на 9 категорий:

  • System
  • Logon/Logoff
  • Object Access
  • Privilege Use
  • Detailed Tracking
  • Policy Change
  • Account Management
  • DS Access
  • Account Logon

И каждая из них, соответственно, делиться на подкатегории. Например, категория аудита Object Access включает в себя подкатегорию File System и чтобы включить аудит для объектов файловой системы на компьютере выполним команду:

Отключается он соответственно командой:

Т.е. если отключить аудит ненужных подкатегорий, можно существенно сократить объем журнала и количества ненужных событий.

После того, как активирован аудит доступа к файлам и папкам, нужно указать конкретные объекты которые будем контролировать (в свойствах файлов и папок). Имейте в виду, что по-умолчанию настройки аудита наследуются на все дочерние объекты (если не указано иное ).

Все собранные события можно сохранять во внешнюю БД для ведения истории. Пример реализации системы: Простая система аудита удаления файлов и папок для Windows Server.

Предыдущая статьяПредыдущая статья Следующая статья Следующая статья

AUDITPOL – управление политиками аудита Windows.

Команда AUDUTPOL используется для управления политиками аудита в операционных системах Windows 7 и старше. Аудит — это процесс отслеживания действий пользователей и фиксации происходящих событий с записью в журнал безопасности операционной системы (ОС). В этот журнал записываются попытки входа в систему, сведения о выполнении определенных действий и результатах их выполнения, а также события, связанные с созданием, открытием, изменением и уничтожением определенных объектов ОС. Политики аудита используются для определения четких правил использования ресурсов, для выявления узких мест в системе безопасности, для контроля действий пользователей а также выявления атак на сеть и локальные ресурсы организации.

Для управления политиками аудита в графической среде пользователя применяется редактор локальной групповой политики ( gpedit.msc ). Для редактирования политик аудита используется раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — , и в значительной степени — Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — — Конфигурация расширенной политики аудита — Политика аудита системы – Объект локальной групповой политикию.

Управление политиками аудита в редакторе групповых политик Windows

По умолчанию, параметры политики аудита не заданы – имеют состояние ”Нет аудита” (или ”Не определено”).

Утилита командой строки auditpol.exe является стандартным средством управления политиками аудита в операционных системах Windows 7 и более поздних. Должна выполняться в контексте учетной записи администратора системы (”Запустить от имени Администратора”). Формат командной строки:

При каждом запуске можно указывать только одну команду.

/get — Отображение текущей политики аудита.

/set — Установка политики аудита.

/list — Отображение элементов политики, которые можно выбрать.

/backup — Сохранение политики аудита в файл.

/restore — Восстановление политики аудита из файла.

/clear — Очистка политики аудита.

/remove — Удаление политики аудита для каждого из пользователей учетной записи.

/resourceSACL — Настройка системных списков управления доступом для глобальных ресурсов. System Access-Control List (SACL) — системный список управления доступом . SACL управляется системой и используется для обеспечения аудита попыток доступа к объектам файловой системы, определяя условия при которых генерируется события безопасности. В операционных системах Windows Vista и более поздних, SACL используется еще и для реализации механизма защиты системы с использованием уровней целостности ( Integrity Level, IL).

Для получения сведений о соответствующей команде используется синтаксис:

Примеры использования утилиты Auditpol.exe

Порядок использования утилиты auditpol.exe практически ничем не отличается для различных версий Windows, начиная с Windows 7. Рассматриваемые ниже примеры приведены для случая применения программы auditpol.exe в среде ОС Windows 10. В редких случаях, некоторые параметры политики аудита, рассматриваемые в примерах, могут отсутствовать при выполнении команды в среде ОС Windows 7-8.1. Для работы с утилитой auditpol.exe требуется повышение привилегий пользователя через ”Запуск от имени администратора”

Сброс в исходное состояние политик аудита.

При использовании параметра командной строки /clear выполняется удаление политики аудита по пользователям для всех пользователей, сброс политики аудита системы для всех подкатегорий и отключение всех параметров аудита.

Формат командной строки:

AuditPol /clear [/y]

/y — Запрос на подтверждение очистки всех политик аудита не отображается.

auditpol /clear /y — выполнить сброс политик аудита без отображения запроса на подтверждение данной операции.

Сохранение и восстановление политик аудита.

Для сохранения и восстановления текущих политик аудита используются команды:

AuditPol /backup /file:имя_файла — сохранить параметры политики аудита системы, и параметры аудита по пользователям в файл с указанным именем. Выходные данные будут записаны в формате CSV.

AuditPol /restore /file:имя_файла — восстановить параметры политики аудита системы, и параметры аудита по пользователям из файла с указанным именем.

auditpol /backup /file:c:\auditpolicy.csv — сохранить текущие параметры политики аудита в файл c:\auditpolicy.csv . О результате выполнения команды на экране консоли отображается соответствующее сообщение (ошибка или успешное выполнение).

auditpol /restore /file:c:\auditpolicy.csv — восстановить текущие параметры политики аудита из файла c:\auditpolicy.csv . О результате выполнения команды на экране консоли отображается соответствующее сообщение (ошибка или успешное выполнение).

Получение справочно-информационных данных для управления политиками аудита.

Для вывода списка категорий или подкатегорий политики аудита, либо списка пользователей, для которых определена политика аудита по пользователям, используется команда /list . Подсказку по использованию можно отобразить при выполнении команды:

Формат командной строки при использовании команды /list

AuditPol /list [/user|/category|/subcategory[: | |*] [/v] [/r]

Параметры командной строки:

/user — Вывод списка всех пользователей, для которых определена политика аудита по пользователям. При использовании с параметром /v также отображается SID пользователя.

/category — Отображение распознанных системой имен категорий. Если используется с параметром /v, также отображается GUID.

/subcategory — Отображение распознанных системой имен подкатегорий для указанной категории. Если используется параметр /v, также отображаются GUID подкатегорий.

auditpol /list /user — отобразить список пользователей, для которых определена политика аудита.

auditpol /list /category — отобразить список имен категорий, допустимых в данной системе. Пример отображаемой информации для русскоязычной Windows 10:

Категория или подкатегория:

Вход учетной записи

Доступ к объектам

Доступ к службе каталогов (DS)

auditpol /list /category /v — то же, что и в предыдущем примере, но с отображением глобальных уникальных идентификаторов (GUID) для каждой категории. В командах утилиты auditpol.exe можно использовать как наименования категорий, так и значения их идентификаторов GUID.

auditpol /list /subcategory:Вход/Выход — отобразить список подкатегорий для категории Вход/Выход . Пример отображаемой информации для Windows 10:

Категория или подкатегория

Выход из системы

Блокировка учетной записи

Основной режим IPsec

Быстрый режим IPsec

Расширенный режим IPsec

Другие события входа и выхода

Сервер сетевых политик

Заявки пользователей или устройств на доступ

Членство в группах

auditpol /list /subcategory:”Доступ к объектам”,”Доступ к службе каталогов (DS)” — то же, что и в предыдущем примере, но указано более одной подкатегории через запятую. Если в имени категории имеется хотя бы один пробел, оно заключается в двойные кавычки.

auditpol /list /subcategory:Вход/Выход, <6997984A-797A-11D9-BED3-505054503030>— то же, что и в предыдущем примере, но вместо имени категории используется соответствующий GUID.

auditpol /list /subcategory:Вход/Выход, <6997984A-797A-11D9-BED3-505054503030>/v — то же, что и в предыдущем примере, но кроме имен подкатегорий отображаются их идентификаторы GUID.

Отображение параметров текущей политики аудита.

Формат командной строки:

AuditPol /get [/user[: | ]] [/category:*| | [,: | . ]] [/subcategory: | [,: | . ]] [/option: ] [/sd] [/r]

Параметры командной строки:

/user — Субъект безопасности, для которого опрашивается политика аудита по пользователям. Необходимо указать либо параметр /category, либо /subcategory. Пользователь может быть задан с помощью SID или по имени. Если не задана учетная запись пользователя, опрашивается политика аудита системы.

/category — Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Чтобы установить опрос всех категорий аудита, используйте звездочку («*»).

/subcategory — Одна или несколько подкатегорий аудита, заданные с помощью GUID или по имени.

/sd — Извлечение дескриптора безопасности, используемого для делегирования доступа к политике аудита.

/option — Извлечение существующей политики для CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects или AuditBaseDirectories.

/r — Отображение результатов в формате отчета (CSV) .

auditpol /get /category:* — отобразить параметры политики аудита для всех категорий и пользователей. Обычно, данная команда используется для получения списка установленных и настроенных политик аудита, поэтому системные администраторы часто используют ее в цепочке с командой поиска текста find : auditpol /get /category:* | find /v «Без аудита» — отобразить настроенные категории политик аудита, т.е. не содержащие ( find /v ) строку Без аудита .

auditpol /get /category:* | find «Сбой» — отобразить список категорий, настроенных на аудит отказов в доступе. Строка ”Сбой” соответствует значению ”Отказ” в редакторе групповых политик gpedit.msc

auditpol /get /category:* | find «Успех» — отобразить список категорий, настроенных на аудит успехов.

auditpol /get /user:win10\user /Category:»Система»,»Вход/Выход» — отобразить состояние политики аудита для пользователя user домена win10 для категорий Система и Вход/Выход

auditpol /get /Category:»Система» — отобразить состояние системной политики аудита для категории Система . Пример отображаемой информации:

Без аудита
Успех и сбой
Без аудита
Успех и сбой
Успех

auditpol /get /option:CrashOnAuditFail — отобразить значение параметра политики аудита CrashOnAuditFail . Данный параметр используется для гарантированного прекращения обслуживания пользователей при возникновении события переполнения журналов аудита.

auditpol /get /user: /Category:»Система» – вместо имени пользователя используется соответствующий идентификатор GUID.

auditpol /get /sd — отобразить дескриптор безопасности политики аудита. Пример отображаемой информации:

Дескриптор безопасности политики аудита: D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY)

Изменение параметров текущей политики аудита.

Формат командной строки:

AuditPol /set [/user[: | ][/include][/exclude]] [/category: | [,: | . ]] [/success: | ][/failure: | ] [/subcategory: | [,: | . ]] [/success: | ][/failure: | ] [/option: /value: | ]

Параметры командной строки:

/user — Субъект безопасности, для которого устанавливается политика аудита по пользователям, заданная параметром category или /subcategory. Необходимо задать либо категорию, либо подкатегорию с помощью SID или по имени.

/include — Указывается вместе с параметром /user, означает, что политикой для данного пользователя создается аудит, даже если он не указан политикой аудита системы. Этот параметр используется по умолчанию и применяется автоматически, если ни параметр /include, ни параметр /exclude не указаны явно.

/exclude — Указывается вместе с параметром /user, означает, что политикой для данного пользователя запрещается аудит, независимо от параметров политики аудита системы. Этот параметр не учитывается для членов локальной группы «Администраторы».

/category — Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Если пользователь не указан, устанавливается политика системы.

/subcategory — Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Если пользователь не указан, устанавливается политика системы.

/success — Установка успешного аудита. Этот параметр используется по умолчанию и применяется автоматически, если ни параметр /success, ни /failure не указаны явно. Этот параметр следует использовать с параметром, разрешающим или запрещающим его.

/failure — Установка неудачного аудита. Этот параметр следует использовать с параметром, разрешающим или запрещающим его.

/option — Установка политики аудита для CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects или AuditBaseDirectories.

/sd — Установка дескриптора безопасности, используемого для делегирования доступа к политике аудита. Дескриптор безопасности следует указывать с помощью SDDL. Дескриптору безопасности должен быть назначен список DACL.

auditpol /set /subcategory:»Целостность системы» /failure:disable — установить системную политику аудита для подкатегории Целостность системы в состояние ”Успех”.

auditpol /set /subcategory:»Целостность системы» — аналог предыдущей команды, но используется значение по умолчанию (”Успех”)

auditpol /set /subcategory:»Целостность системы» /success:enable — также аналог предыдущих команд, но с использованием параметра success

auditpol /set /subcategory: <0cce9212-69ae-11d9-bed3-505054503030>/failure:disable — аналог предыдущих команд, но подкатегория задана идентификатором GUID

Для просмотра установленного значения политики можно воспользоваться командой auditpol /get /subcategory:»Целостность системы»

auditpol /set /user:win10\user /subcategory:»Целостность системы» /success:enable — аналогично предыдущим командам, но политика определяется для пользователя user домена или компьютера win10

auditpol /set /option:CrashOnAuditFail /value:enable — разрешить режим отказа обслуживания пользователей при переполнении журнала аудита. Если этот параметр задан, и произошло переполнение журнала безопасности, то система аварийно завершится стоп-ошибкой (”Синий экран смерти Windows”)

STOP 0xC0000244 when security log full

STOP 0xC0000244 — когда журнал безопасности полон

auditpol /set /sd:D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY) — изменить дескриптор безопасности политики аудита.

Аудит доступа к глобальным объектам.

Формат командной строки:

AuditPol /resourceSACL [/set /type: [/success] [/failure] /user: [/access: ] [/condition: ]] [/remove /type: user: /type: ]] [/clear [/type: ]] [/view [/user: ] [/type: ]]

Параметры командной строки:

/? — Выводит справку по команде.

/set — Добавляет новую или обновляет существующую запись в системном списке управления доступом для указанного типа ресурса.

/remove — Удаляет все записи для данного пользователя из списка аудита доступа к глобальным объектам, указанного типом ресурса.

/clear — Удаляет все записи из списка аудита доступа к глобальным объектам для указанного типа ресурса.

/view — Отображает список записей аудита доступа к глобальным объектам для указанного типа ресурса и пользователя. Пользователя указывать не обязательно.

/type — Ресурс, для которого выполняется настройка аудита доступа к объектам. Поддерживаемые значения аргумента: File и Key (с учетом регистра).

File — каталоги и файлы.
Key — разделы реестра.

/success — Задает аудит успехов.

/failure — Задает аудит отказов.

/user — Задает пользователя в одной из следующих форм:
— имя_домена\учетная_запись (например, DOM\Administrators)
— автономный_сервер\группа
— учетная запись (см. API-интерфейс LookupAccountName)
. Здесь x имеет десятичный формат, а весь
ИД безопасности должен быть заключен в фигурные скобки.
Например:

Предупреждение. Если используется ИД безопасности, проверка существования учетной записи не выполняется.

/access — Маска разрешения в одной из двух форм:

права универсального доступа:

GA — полный универсальный доступ
GR — универсальный доступ на чтение
GW — универсальный доступ на запись
GX — универсальный доступ на выполнение

права доступа к файлам:

FA — полный доступ к файлу
FR — доступ к файлу на чтение
FW — доступ к файлу на запись
FX — доступ к файлу на выполнение

Права доступа к разделам реестра:

KA — полный доступ к разделу
KR — доступ к разделу на чтение
KW — доступ к разделу на запись
KX — доступ к разделу на выполнение

Например: «/access:FRFW» — включение событий аудита для операция чтения и записи.

/condition — Добавление выражения на основе атрибутов, такого как:
документ имеет конфиденциальность HBI («Высокая») — «(@Resource.Sensitivity == \»Высокая\»)»

auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\myuser /success — аудит успехов пользователя myuser домена MYDOMAIN при обращении к реестру системы.

auditpol /resourceSACL /remove /type:File /user: — аудит успехов пользователя с указанным SID при обращении к файлам.

auditpol /resourceSACL /set /type:File /user:everyone /success /failure /access:FRFW condition:»(@Resource.Sensitivity == \»Высокая\»)» — аудит успехов и отказов всех пользователей при обращению к файлам с высокой конфиденциальностью на чтение и запись.

auditpol /resourceSACL /type:File /clear — удалить все записи из списка аудита доступа к глобальным объектам для файлов.

auditpol /resourceSACL /type:Key /view — отобразить все записи аудита системного списка управления доступом для реестра.

auditpol /resourceSACL /type:Key /view /user:win10\user — отобразить записи аудита обращений к реестру пользователя user домена win10

Как очистить журнал аудита в Discord — Учебное пособие

Журналы аудита на самом деле представляют собой цифровые записи всего, что на самом деле происходит на сервере Discord. Они записывают, кого на самом деле пинали и кто на самом деле пинал, действия ботов, выполненные действия. Для этого нужны права администратора и многое другое. Они являются записями обо всем, что происходит, и должны сохраняться как можно дольше. Однако можно ли удалить журналы аудита в Discord? Просто прочтите эту статью, чтобы узнать все о том, как очистить журнал аудита в Discord — Учебное пособие. Давайте начнем!

Короткий ответ: на самом деле нет, вы не можете редактировать, изменять или удалять журналы аудита. Они написаны с более высокими привилегиями, чем даже владельцы серверов, и предназначены для безвозвратной записи действий сервера.

Я вижу, что этот вопрос часто задают на форумах Discord и в других местах в Интернете. Часто упоминается вместе с некоторыми странными событиями, такими как массовые баны или добавление новых администраторов без соответствующего журнала аудита. Тогда возникает вопрос, может ли кто-нибудь изменить или очистить эти журналы аудита в Discord. На самом деле нет. Discord неоднократно подтверждал, что журналы неприкосновенны и не могут быть изменены каким-либо пользователем, независимо от его прав.

Очистить журнал аудита

Журналы аудита в Discord

Журналы аудита — это письменные записи обо всем, что происходит на сервере Discord, которому требуются права администратора. На самом деле они не записывают чаты, личные сообщения, сообщения, а также ежедневные обсуждения участников. Они также не записывают, кто входит в систему, когда, как долго, а также то, что участник не хотел бы записывать. Это просто запись определенных действий на этом сервере.

В частности, действия, для которых требуются разрешения, такие как удаление сообщений, удаление участников, добавление новых участников, изменение разрешений, добавление ролей и т. Д. Это происходит за кулисами на среднем сервере Discord.

Если у вас есть права на просмотр журналов аудита или администратора на вашем сервере, вы также можете проверить их.

  • Откройте Discord и войдите в систему с учетной записью с этими разрешениями.
  • Выберите «Настройки сервера» в главном окне и выберите «Журнал аудита» в левом меню.
  • Выберите запись, чтобы увидеть, что именно она содержит.

На моем тестовом сервере SwipeTips не так много журналов для проверки, но на реальном сервере с участниками. Также будут сотни журналов. Вы также можете увидеть на верхнем уровне, кто что сделал, а затем обзор того, что они на самом деле сделали. Вы также можете выбрать каждую запись индивидуально, чтобы узнать больше о том, что произошло.

Когда вы имеете дело с сотнями журналов, вам, возможно, придется использовать фильтры на странице журнала. Затем проверьте верхний правый угол страницы журнала аудита, и вы, ребята, должны увидеть раскрывающиеся меню рядом с «Фильтр по пользователю» и «Фильтр по действию». Если вы, ребята, имеете дело с большим количеством журналов и ищете что-то конкретное, вам сюда.

Типы журналов аудита

Согласно этой странице в Discord Wiki, журналы аудита, которые вы увидите, включают:

  • Создание канала, удаление, а также обновления
  • Создание, удаление и обновление разрешений на канал
  • Кроме того, создание, удаление и обновление смайлов
  • Создание приглашения, удаление, а также обновления
  • Участник также снимает бан и снимает бан
  • Также обновляется роль участника и никнейм.
  • Создание, удаление и обновление ролей
  • Обновления сервера тоже
  • Создание, удаление и обновление веб-перехватчиков
  • Удаление сообщений через пользователей и ботов также

Как вы, ребята, видите, это большинство действий, которые предпримет владелец или администратор сервера. В него также включены некоторые действия модератора, такие как кик, бан и разблокировка. Это журналы, которые вы, ребята, скорее всего, будете видеть чаще всего или вас попросят проверить чаще всего.

Далее | Очистить журнал аудита

Помимо журналов аудита по умолчанию в Discord, вы также можете дополнить их конкретными ботами, которые добавляют свои собственные функции ведения журналов. Стандартных журналов должно хватить для большинства ситуаций и большинства владельцев серверов. Однако, если вы, ребята, хотите большего, тогда для этого есть бот. На самом деле, для этого тоже есть куча ботов.

Есть одно ключевое различие между журналами, созданными ботами, и журналами аудита Discord. Если журналы Discord неприкосновенны и не могут быть удалены, то журналы, созданные ботами, действительно могут. Удостоверьтесь, что вы ограничиваете разрешения только для себя или людей, которым вы доверяете, чтобы поддерживать целостность журнала, иначе это как бы повредит объект.

Раньше я пользовался ProBot, и он мне понравился. На самом деле я не особо углублялся в лесозаготовки. Однако существует множество журналов, которые он может хранить, чтобы дополнить журналы по умолчанию, если это действительно ваше дело. Наряду с множеством других функций, если вы, ребята, думаете, что на вашем сервере что-то происходит. На самом деле это не регистрируется, это способ узнать. Не забудьте сохранить разрешения для ботов, чтобы журналы также были точными.

Ведение журнала аудита — важный инструмент для управления загруженным сервером Discord. Если вам повезет, вам никогда не придется их использовать. Если вам не повезло, вы тоже потратите много времени на их просмотр!

Что ж, это все с моей стороны. Если вы хотите узнать больше об этой статье «Очистить журнал аудита» или у вас есть вопросы. Тогда не стесняйтесь спрашивать меня о чем угодно в разделе комментариев ниже.

ILYA Sazonov: ITPro

Не так давно мне нужно было отловить некоторые хитрые события связанные с аутентификацией на домен-контроллерах. Для решения этой задачи пришлось включить с помощью групповых политик так называемый расширенный аудит, который появился в Windows Server 2008 R2 и Windows 7. Можно настроить 53 события аудита! Есть где разгуляться!

Эти события пишутся в отдельный журнал Microsoft-Windows-Audit; при этом журнал Security больше не пополняется новыми событиями аудита – прежняя система аудита отключается полностью.

Когда мое исследование было завершено, я выставил параметры расширенного аудита в групповой политике в «Not configured». К моему удивлению после применения политик к домен-контроллерам в журнал Security события аудита не начали поступать – классическая система аудита не включилась. Загадка!

В библиотеке Technet была найдена статья, которая ясно описывала шаги по отключению расширенного аудита:

1.Set all Advanced Audit Policy sub-categories to Not configured.

2.Delete all audit.csv files from the %SYSVOL% folder on the domain controller.

3.Reconfigure and apply the basic audit policy settings.

И так первый шаг мной уже сделан. Удалил файл audit.csv и обновил политики на домен-контроллерах. Не помогло!

Поискал файл audit.csv локально на домен-контроллере и нашел в двух местах C:\Windows\System32\GroupPolicy\ и C:\Windows\security\audit. Обновил политики – не помогло. Чудеса!

Ключевым оказалось слово Reconfigure из третьего пункта: каждую настройку классического аудита в групповой политике надо выключить, сохранить, включить заново и опять сохранить. Затем применить обновленную политику. (Может достаточно передернуть одну настройку аудита, чтобы раздел GPO обновился и применился?)

Сразу после этого в журнал Security на домен-контроллерах полетели события.

Похожие публикации:
  1. Как поставить 144 гц в payday 2
  2. Kali linux как основная система
  3. Сколько жестких дисков в ноутбуке
  4. Как отвязать аккаунт от ютуба

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *