Аудит доступа к объектам
Описание
Этот параметр безопасности определяет, подлежит ли аудиту событие доступа пользователя к объекту — например к файлу, папке, разделу реестра, принтеру и т.п., — для которого задана собственная системная таблица управления доступом (SACL).
Через этот параметр можно определить, кто пользовался ресурсами Вашего ПК. Попробуйте установить в «Успех» и посмотрите, что получится.
Аудит изменения политики
Описание
Этот параметр безопасности определяет, подлежит ли аудиту каждый факт изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.
Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики, установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
По умолчанию
• «Нет аудита» — на рядовых компьютерах.
Полезно установить «Успех» для того, чтобы иметь возможность выявить изменения в локальной политике, выполненные без Вашего ведома.
Аудит использования привилегий
Описание
Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.
Чтобы установить значение «Нет аудита», в диалоговом окне настройки этой политики Свойства установите флажок Определить следующие параметры политики и снимите флажки «Успех» и «Отказ».
По умолчанию: «Нет аудита».
Может быть полезно для выявления попыток расширения прав пользователя или «овладевание» объектами (команда «стать владельцем»).
Лично я не включаю аудит по этому параметру. А Вам самим решать.
Аудит отслеживания процессов
Описание
Этот параметр безопасности определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом.
Чтобы установить для этого параметра значение Нет аудита, в диалоговом окне Свойства для этого параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
По умолчанию: «Нет аудита».
Включать не рекомендуется, т.к. компьютер начнет работать только на аудит, тратя свои ресурсы в основном на регистрацию событий.
Аудит системных событий
Описание
Этот параметр безопасности определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события.
Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
По умолчанию
• «Успех» — на контроллерах домена.
• «Нет аудита» — на рядовых ПК.
Полезно включать. Существенно дополняет аудит по параметру «Аудит входа в систему» и не только.
Таблица кодов системных событий:
Сообщения о системных событиях |
Описание |
512 |
Выполняется запуск Windows. |
513 |
Выполняется выключение Windows. |
514 |
Пакет проверки подлинности загружен службой Local Security Authority. |
515 |
Службой «Локальный администратор безопасности» зарегистрирован доверенный процесс входа в систему. |
516 |
Возможна потеря части сообщений о событиях безопасности, так как исчерпаны внутренние ресурсы, выделенные для организации очереди этих сообщений. |
517 |
Создан журнал аудита. |
518 |
Пакет уведомления загружен службой Security Accounts Manager. |
519 |
Процесс использует неверный порт вызова локальных процедур (LPC), пытаясь имитировать работу клиента и использовать его адресное пространство для выдачи ответов, чтения или записи. |
520 |
Изменено системное время.
Примечание
• |
Обычно это сообщение регистрируется дважды. |
|
|