Аудит управления учетными записями Audit account management
Область применения Applies to
Определяет, нужно ли проводить аудит каждого события управления учетными записями на устройстве. Determines whether to audit each event of account management on a device.
Ниже приведены примеры событий управления учетными записями. Examples of account management events include:
- Создание, изменение или удаление учетной записи пользователя или группы. A user account or group is created, changed, or deleted.
- Переименование, отключение или включение учетной записи пользователя. A user account is renamed, disabled, or enabled.
- Установка или изменение пароля. A password is set or changed.
Если вы определяете этот параметр политики, вы можете указать, следует ли проводить аудит успехов, аудит отказов или вообще не проводить аудит для типа события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успехов создает запись аудита при успешном завершении любого события управления учетными записями. Success audits generate an audit entry when any account management event succeeds. Аудит отказов приводит к созданию записи аудита при сбое одного из событий управления учетными записями. Failure audits generate an audit entry when any account management event fails. Чтобы отключить аудит, в диалоговом окне свойства для этого параметра политики установите флажок определить следующие параметры политики и снимите флажки успех и отказ . To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
По умолчанию Default:
- Успех на контроллерах домена. Success on domain controllers.
- Без аудита на рядовых серверах. No auditing on member servers.
Настройка этого параметра аудита Configure this audit setting
Вы можете настроить этот параметр безопасности, открыв соответствующую политику в разделе Computer Конфигуратион\виндовс Сеттингс\секурити Сеттингс\локал ПолиЦиес\аудит. You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
Управление журналом аудита и безопасности Manage auditing and security log
Область применения Applies to
В этой статье описаны рекомендации, расположение, значения, Управление политиками и параметры безопасности для политики безопасности » Управление аудитом и журналом безопасности «. Describes the best practices, location, values, policy management, and security considerations for the Manage auditing and security log security policy setting.
Справочные материалы Reference
Этот параметр политики определяет, какие пользователи могут задавать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. This policy setting determines which users can specify object access audit options for individual resources such as files, Active Directory objects, and registry keys. Эти объекты определяют системные списки управления доступом (SACL). These objects specify their system access control lists (SACL). Пользователь, которому назначено это право пользователя, может также просматривать и очищать журнал безопасности в средстве просмотра событий. A user who is assigned this user right can also view and clear the Security log in Event Viewer. Дополнительные сведения о политике аудита доступа к объектам можно найти в статье Аудит доступа к объектам. For more info about the Object Access audit policy, see Audit object access.
Константа: SeSecurityPrivilege Constant: SeSecurityPrivilege
Возможные значения Possible values
- Определяемый пользователей список учетных записей User-defined list of accounts
- Администраторы Administrators
- Не определено Not Defined
Рекомендации Best practices
- Прежде чем удалять это право из группы, проверьте, зависит ли приложение от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.
- Как правило, назначение этого права для групп, Кроме администраторов, не является обязательным. Generally, assigning this user right to groups other than Administrators is not necessary.
Location Location
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Значения по умолчанию Default values
По умолчанию этот параметр является администратором на контроллерах домена и на отдельных серверах. By default this setting is Administrators on domain controllers and on stand-alone servers.
В приведенной ниже таблице перечислены фактические и действующие значения политики по умолчанию для самых последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Не определено Not defined |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Администраторы Administrators |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Администраторы Administrators |
| Действующие параметры по умолчанию для контроллера домена Domain Controller Effective Default Settings | Администраторы Administrators |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Администраторы Administrators |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Администраторы Administrators |
Управление политикой Policy management
В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой. This section describes features, tools, and guidance to help you manage this policy.
Для активации этого параметра политики не требуется перезагрузка компьютера. A restart of the computer is not required for this policy setting to be effective.
Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
Аудит для доступа к объектам не выполняется до тех пор, пока вы не включите их с помощью редактора локальных групповых политик, консоли управления групповыми политиками (GPMC) или средства командной строки Auditpol. Audits for object access are not performed unless you enable them by using the Local Group Policy Editor, the Group Policy Management Console (GPMC), or the Auditpol command-line tool.
Дополнительные сведения о политике аудита доступа к объектам можно найти в разделе Аудит доступа к объектам. For more information about the Object Access audit policy, see Audit object access.
Групповая политика Group Policy
Параметры применяются в указанном ниже порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:
- Параметры локальной политики Local policy settings
- Параметры политики сайта Site policy settings
- Параметры политики домена Domain policy settings
- Параметры политики подразделения OU policy settings
Если локальная настройка недоступна, это указывает на то, что объект GPO, который в настоящее время управляет этим параметром. When a local setting is greyed out, it indicates that a GPO currently controls that setting.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Любой пользователь, имеющий право управления аудитом и журналом безопасности , может очистить журнал безопасности, чтобы стереть важные доказательства о несанкционированном действии. Anyone with the Manage auditing and security log user right can clear the Security log to erase important evidence of unauthorized activity.
Противодействие Countermeasure
Убедитесь в том, что только локальная группа администраторов имеет право пользователя Управление аудитом и журналом безопасности . Ensure that only the local Administrators group has the Manage auditing and security log user right.
Возможное влияние Potential impact
Настройка по умолчанию для ограничения прав пользователя на Управление аудитом и журналом безопасности для локальной группы администраторов. Restricting the Manage auditing and security log user right to the local Administrators group is the default configuration.
Предупреждение. если этому пользователю назначены группы, кроме локальных администраторов, удаление этого права может привести к проблемам с производительностью в других приложениях. Warning: If groups other than the local Administrators group have been assigned this user right, removing this user right might cause performance issues with other applications. Прежде чем удалять это право из группы, проверьте, зависит ли приложение от этого права. Before removing this right from a group, investigate whether applications are dependent on this right.
Аудит события входа Audit logon events
Область применения Applies to
Определяет, нужно ли проводить аудит каждого экземпляра пользователя, который входит в систему или выходит из него с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События входа в учетную запись создаются на контроллерах домена для работы с учетной записью домена и на локальных устройствах для локальных действий с учетными записями. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа в систему, при входе в систему с учетной записью домена генерируется событие входа в систему или выхода из нее на компьютере или сервере, которое создает событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивный вход на рядовой сервер или рабочую станцию, использующую учетную запись домена, создает событие входа в систему на контроллере домена, так как сценарии входа и политики извлекаются при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях входа в учетную запись можно найти в статье Аудит событий входа в систему. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проводить аудит успехов, аудит отказов или вообще не проводить аудит для типа события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успехов приводит к созданию записи аудита при успешном попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит отказов приводит к созданию записи аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы отключить аудит, в диалоговом окне свойства для этого параметра политики установите флажок определить следующие параметры политики и снимите флажки успех и отказ . To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о параметрах политики безопасности для входа в систему можно найти в разделе Вход в систему и выход из нее на странице Дополнительные параметры политики аудита безопасности. For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Вы можете настроить этот параметр безопасности, открыв соответствующую политику в разделе Computer Конфигуратион\виндовс Сеттингс\секурити Сеттингс\локал ПолиЦиес\аудит. You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События входа Logon events | Описание Description |
|---|---|
| 528 528 | Пользователь успешно вошел в систему на компьютере. A user successfully logged on to a computer. Сведения о типе входа можно найти в таблице Типы входа ниже. For information about the type of logon, see the Logon Types table below. |
| 529 529 | Ошибка входа. Logon failure. Попытка входа была выполнена с неизвестным именем пользователя или известным именем пользователя с неправильным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 530 530 | Ошибка входа. Logon failure. Попытка входа учетной записи пользователя в систему за пределами допустимого времени. A logon attempt was made user account tried to log on outside of the allowed time. |
| 531 531 | Ошибка входа. Logon failure. Попытка входа была выполнена с помощью отключенной учетной записи. A logon attempt was made using a disabled account. |
| 532 532 | Ошибка входа. Logon failure. Попытка входа была выполнена с помощью просроченной учетной записи. A logon attempt was made using an expired account. |
| 533 533 | Ошибка входа. Logon failure. Попытка входа была предпринята пользователем, который не может войти на этот компьютер. A logon attempt was made by a user who is not allowed to log on at this computer. |
| 534 534 | Ошибка входа. Logon failure. Пользователь попытался войти в систему с недопустимым типом. The user attempted to log on with a type that is not allowed. |
| 535 535 | Ошибка входа. Logon failure. Срок действия пароля для указанной учетной записи истек. The password for the specified account has expired. |
| 536 536 | Ошибка входа. Logon failure. Служба сетевого входа в систему неактивна. The Net Logon service is not active. |
| 537 537 | Ошибка входа. Logon failure. Попытка входа завершилась сбоем по другим причинам. The logon attempt failed for other reasons. |
| 538 538 | Процесс выхода для пользователя завершен. The logoff process was completed for a user. |
| 539 539 | Ошибка входа. Logon failure. Учетная запись была заблокирована на момент, когда была выполнена попытка входа. The account was locked out at the time the logon attempt was made. |
| 540 540 | Пользователь успешно вошел в сеть. A user successfully logged on to a network. |
| 541 541 | Проверка подлинности IKE основного режима выполнена между локальным компьютером и указанным идентификатором однорангового узла (установление сопоставления безопасности), или быстрый режим установил канал данных. Main mode Internet Key Exchange (IKE) authentication was completed between the local computer and the listed peer identity (establishing a security association), or quick mode has established a data channel. |
| 542 542 | Канал данных прерван. A data channel was terminated. |
| 543 543 | Главный режим завершен. Main mode was terminated. |
| 544 544 | Не удалось выполнить проверку подлинности основного режима, так как узел не предоставил действительный сертификат или подпись не была проверена. Main mode authentication failed because the peer did not provide a valid certificate or the signature was not validated. |
| 545 545 | Не удалось выполнить проверку подлинности основного режима из-за сбоя Kerberos или недопустимого пароля. Main mode authentication failed because of a Kerberos failure or a password that is not valid. |
| 546 546 | Не удалось установить сопоставление безопасности IKE из-за того, что одноранговый элемент отправил недействительное предложение. IKE security association establishment failed because the peer sent a proposal that is not valid. Получен пакет, содержащий недопустимые данные. A packet was received that contained data that is not valid. |
| 547 547 | В ходе подтверждения IKE произошла ошибка. A failure occurred during an IKE handshake. |
| 548 548 | Ошибка входа. Logon failure. Идентификатор безопасности (SID) из доверенного домена не совпадает с SID домена учетной записи клиента. The security ID (SID) from a trusted domain does not match the account domain SID of the client. |
| 549 549 | Ошибка входа. Logon failure. Все идентификаторы безопасности, соответствующие недоверенным пространствам имен, были отфильтрованы во время проверки подлинности в лесах. All SIDs corresponding to untrusted namespaces were filtered out during an authentication across forests. |
| 550 550 | Сообщение с уведомлением о возможной атаке на службу. Notification message that could indicate a possible denial-of-service attack. |
| 551 551 | Пользователь инициировал процесс выхода из системы. A user initiated the logoff process. |
| 552 552 | Пользователь успешно вошел на компьютер с помощью явных учетных данных, но уже вошел в систему как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 682 682 | Пользователь повторно подключен к отключенному сеансу сервера терминалов. A user has reconnected to a disconnected terminal server session. |
| 683 683 | Пользователь отключил сеанс сервера терминалов, не выходя из системы. A user disconnected a terminal server session without logging off. |
Когда регистрируется событие 528, в журнале событий также указывается тип входа в систему. When event 528 is logged, a logon type is also listed in the event log. В таблице ниже описаны все типы входов. The following table describes each logon type.