Одит на сигурността на Windows с помощта на auditpol и wevtutil

Одитът на сигурността в Windows Това е една от онези задачи, които, когато са конфигурирани правилно, ви спестяват часове диагностика и ви помагат да разберете какво всъщност се случва с вашите компютри и домейн контролери. назад команди ключ, auditpol и wevtutilТе ви позволяват да управлявате подробни политики за одит и да проверявате схемата за събития на канала за сигурност с хирургическа прецизност.

Най-добре е обаче да не прекалявате: активиране на одити безразборно Това генерира огромно количество шум в лог файловете и затруднява намирането на това, което е важно. Идеята е да се използва гранулираността на подкатегориите, достъпни от Windows Vista/Server 2008 насам, за да се провери какво е важно (и само каквото е важно), като същевременно се запази съвместимостта с по-стари среди, където е приложимо.

Какво представляват auditpol и wevtutil и защо ги използваме?

En pocas palabras, auditpol.exe Използва се за преглед и промяна на политиката за одит на Windows по категории и подкатегории; докато wevtutil.exe Позволява ви да заявявате метаданни, схеми и разрешения (SDDL) на канали за събития, както и да експортирате, заявявате и управлявате регистрационни файлове. И двете изискват конзола с повишени права за повечето операции.

С auditpol можете да видите текущата конфигурация и да активирате подробни одити. Например, за да изброите всички налични подкатегории: одитпол /списък /подкатегория:*И с wevtutil можете да проверите детайлите на доставчика на сигурност и да извлечете неговата схема на събития в четлив файл.

Няколко задачи за бърза справка (с привилегии):

• Избройте всички подкатегории одит на сигурността:

  одитпол /списък /подкатегория:*

• Вземете схемата от доставчика на сигурност (съобщения, задачи, нива):

  wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true > C:\EventosAuditoria.txt

ConsejoТози дъмп на схемата ви казва точно какви събития съществуват, какви са техните идентификатори, как са съставени и в кой канал са публикувани.

Еволюция на одита: от Windows Server 2003 до 2008 и по-нови версии

На домейн контролери, работещи с Windows Server 2003, правилата за одит чрез GPO (Конфигурация на компютъра > Настройки на Windows > Локални правила > Правила за одит), използвани за активиране на категории на високо ниво като „Влизане в акаунт“ или „Достъп до обекти“. Беше по-грубо: достатъчно за работа, но без фината гранулираност на подкатегориите.

С Windows Vista/Server 2008 гранулираността стана истинска: подкатегории (напр. репликация на директорийни услуги в DS Access), която можете да видите с

auditpol.exe /get /Категория:*

Това подобрение ви позволява да одитирате точно това, от което се нуждаете, намалявайки шума и увеличавайки стойността на лога.

Типичен пример: ако проучвате репликация на AD, можете да активирате само подкатегорията Репликация на директорийни услуги вместо целия DS Access. По този начин ще виждате събития като 4932 (старт на синхронизацията) с подробности за DRA източник/дестинация, имена на NC и USN, наред с други полезни данни.

Пример (перифразиран) на събитие 4932: Синхронизацията започна от контекст на именуване на Active Directory, с DRA източник и местоназначение, опции, идентификатор на сесия и начален USN. Тези метаданни помагат за проследяване на цикъла на репликация и откриване на аномалии.

Разрешения за четене на дневника за сигурност: Група „Четци на дневник на събития“ и SDDL

За да четете канала за сигурност, без да сте администратор, стандартният начин е да добавите акаунта към групата. Четци на регистър на събития (SID: S-1-5-32-573, съкратено ER). Това е най-простото решение и обикновено е достатъчно, например, за акаунти на конектори като OpenDNS_Connector.

В по-рядко срещани сценарии тази група няма разрешенията по подразбиране за канала за сигурност. За да проверите това, използвайте:

wevtutil GL сигурност

и потърсете линията Достъп до каналакойто включва ефективния SDDL. Пример за синтаксис:

channelAccess: O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)

Можете също да използвате проверка на достъпа за да проверите разрешенията.

В SDDL, 0x1 чете, 0x2 запис y 0x3 четене/записПроверете дали записът в ER групата има поне 0x1. Ако не, коригирайте разрешенията.

Чести корекции, когато липсват разрешения в канала за сигурност

Si wbemtest Свързва се, но не показва никакви събития. Типични причини са: политиката за одит не регистрира очакваните събития или акаунтът (напр. OpenDNS_Connector) няма разрешение да чете лога за сигурност. Оттам можете да:

Поправка 1: Възстановяване на стойностите по подразбиране

Премахнете персонализирания SDDL от системния регистър, за да възстановите разрешенията по подразбиране на канала: изтриване на стойността на CustomSD de

HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security

Този метод е бърз, въпреки че може да повлияе на софтуер, който зависи от този персонализиран SDDL.

Поправка 2: Актуализирайте SDDL с wevtutil

1) Получете текущите разрешения:

wevtutil GL сигурност

2) Вземете текущия низ /ca (пример):

/ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)

3) Изчислете SID на потребителя (заменете с истинското име):

wmic потребителски акаунт, където име = 'OpenDNS_Connector' получава sid

4) Дайте разрешение за четене, като добавите ACE към съществуващия низ (заменя ):

wevtutil sl security /ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;<SID>)

С тази, този акаунт се чете от канала за сигурност, без да се предоставят допълнителни разрешения за акаунта.

Корекция 3: чрез GPO

Чрез групова директива: предоставя на акаунта правото да Управлявайте регистрационни файлове за одит и сигурност (четене и писане) в:

Конфигурация на компютъра \ Политики \ Настройки на Windows \ Настройки за сигурност \ Локални политики \ Присвояване на потребителски права \ Управление на регистрационния файл за одит и сигурност

След като го приложите, изпълнете gpupdate / сила в домейн контролерите. В среди на Windows 2003 може да е възможно Четци на дневници на събития не съществуватТози GPO е основният метод за този сценарий.

Разрешаване на достъп до обекти и прилагане на политики с auditpol

За да запишете достъп до файлове, ключове в системния регистър или други обекти, трябва да активирате съответния одит. В класическите области Можете да го направите от GPO: Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policy > Audit Policy, като проверите достъпа до обекти за одит (успех и неуспех). Днес е най-добре да го комбинирате с подкатегории на auditpoli.

След като политиката бъде коригирана, принуждава прилагането му с:

gpupdate / сила

От този момент нататък ще виждате събития за достъп до обекти, кой е направил опит, дали е успял и кога се е случило. Тази информация е безценна за разследване на инциденти, съответствие и чувствителни промени.

Заявки и дъмп на схемата за сигурност с wevtutil

За да прегледате какви събития съществуват в доставчика на одит на сигурността, изпълнете:

wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true > C:\EventosAuditoria.txt

Файлът включва име на доставчикаGUID, файлове с ресурси/съобщения, канали, нива, задачи, опкодове и пълен списък с идентификатори на събития с техните съобщения и полета.

Пример за основни системни събития (перифразирано): 4608 (Windows стартира), 4609 (Windows се изключва), 4610 (LSA качи пакет за удостоверяване.) Тази таксономия ви помага бързо да картографирате какво трябва да одитирате.

Диагностициране с wbemtest: кога да се проверят разрешенията и кога да се проверят правилата

Ако WBEMTEST (или вашият конектор) не успее да се свърже, проблемът обикновено е в WMI/DCOM разрешенияАко се свърже, но не вижда никакви събития, проверете две неща: дали политиката за одит е запис Какво очаквате и дали използваният акаунт може да чете канала за сигурност (група „Четци на регистрационни файлове“ или подходящ SDDL).

Списък на редовните събития по категории и подкатегории

По-долу е даден практически справочник на често срещани събития по подкатегории, като съобщенията са преформулирани за улесняване на четенето. Личните карти са официалните и съобщенията му са еквивалентни на тези на схемата Microsoft-Windows-Security-Auditing.

Подкатегория: Валидиране на удостоверения

ID	съобщение
4774	Беше зададен акаунт за вход.
4775	Акаунтът за вход не можа да бъде присвоен.
4776	Контролерът на домена се опита да валидира идентификационните данни за акаунта.
4777	Контролерът на домена не успя да валидира идентификационните данни за акаунт.

Подкатегория: Услуга за удостоверяване Kerberos

ID	съобщение
4768	Беше поискан TGT на Kerberos.
4771	Предварителното удостоверяване с Kerberos не бе успешно.
4772	Заявката за Kerberos TGT е неуспешна.

Подкатегория: Операции с ваучери за услуги Kerberos

ID	съобщение
4769	Заявен е билет за услугата Kerberos (TGS).
4770	Билет за услугата Kerberos беше подновен.
4773	Заявката за билет за услугата Kerberos е неуспешна.

Категория: Управление на акаунти

ID	съобщение
4783	Създадена е група от основни приложения.
4784	Група от основни приложения беше променена.
4785	Към групата за основни приложения беше добавен член.
4786	Член от групата за основни приложения беше премахнат.
4787	Към групата с основни приложения беше добавен нечлен.
4788	Член от групата за основни приложения беше премахнат.
4789	Група основни приложения беше премахната.
4790	Създадена е консултативна група за LDAP.
4791	Група от основни приложения беше променена.
4792	Група за LDAP заявки беше премахната.

Подкатегория: Управление на екипни акаунти

ID	съобщение
4741	Създаден е екипен акаунт.
4742	Екипен акаунт беше променен.
4743	Екипен акаунт беше изтрит.

Подкатегория: Управление на групи за разпространение

ID	съобщение
4744	Създадена е локална група с деактивирана защита.
4745	Локална група с деактивирана защита беше променена.
4746	Към локалната група е добавен член без защита.
4747	Член на местна група е бил отстранен без охрана.
4748	Локална група без охрана беше премахната.
4749	Създадена е глобална група без сигурност.
4750	Глобална група без защита беше променена.
4751	Към глобалната група е добавен член без защита.
4752	Член на глобална група беше отстранен без охрана.
4753	Глобална група без защита беше премахната.
4759	Създадена е универсална група без охрана.
4760	Универсална група без сигурност беше променена.
4761	Към универсалната група е добавен член без защита.
4762	Член на универсалната група беше отстранен без охрана.

Подкатегория: Други събития за управление на акаунти

ID	съобщение
4739	Директивата за домейн беше променена.
4782	Достъпен е хешът на паролата на акаунт.
4793	API за проверка на правилата за пароли е извикан.

Подкатегория: Администриране на група за сигурност

ID	съобщение
4727	Създадена е глобална група със сигурност.
4728	Към глобалната група със сигурност е добавен член.
4729	Член на глобалната група беше безопасно отстранен.
4730	Глобална група беше безопасно премахната.
4731	Създадена е местна група за сигурност.
4732	Към локалната група със сигурност е добавен член.
4733	Член на местна група е бил отстранен с охрана.
4734	Местна група беше безопасно отстранена.
4735	Локална група беше променена с оглед на сигурността.
4737	Глобална група беше променена със защита.
4754	Създадена е универсална група със сигурност.
4755	Универсална група беше модифицирана с мерки за безопасност.
4756	Към универсалната група със сигурност е добавен член.
4757	Член на универсалната група беше безопасно отстранен.
4758	Универсална група беше безопасно елиминирана.
4764	Типът на групата беше променен.

Подкатегория: Управление на потребителски акаунти

ID	съобщение
4720	Създаден е потребителски акаунт.
4722	Активиран е потребителски акаунт.
4723	Направен е опит за промяна на паролата на акаунт.
4724	Направен е опит за нулиране на паролата на акаунта.
4725	Потребителски акаунт беше деактивиран.
4726	Потребителски акаунт беше изтрит.
4738	Потребителски акаунт беше променен.
4740	Потребителски акаунт беше блокиран.
4765	Историята на SID беше добавена към акаунт.
4766	Добавянето на SID история към акаунт не бе успешно.
4767	Потребителски акаунт беше отключен.
4780	ACL бяха дефинирани за акаунти в администраторски групи.
4781	Профилът беше преименуван.
4794	Направен е опит за установяване на DSRM режим.
5376	Администраторските идентификационни данни бяха копирани (Vault/CredMan).
5377	Администраторските идентификационни данни са възстановени от резервно копие.

Категория: Подробно проследяване

ID	съобщение
4692	Опит за архивиране на DPAVI сесийния ключ.
4693	Опит за възстановяване на DPAPI сесиен ключ.
4694	Опит за защита на одитираните данни.
4695	Опит за премахване на защитата на одитираеми данни.

Подкатегория: Създаване и завършване на процеси

ID	съобщение
4688	Създаден е нов процес.
4696	Основен токен беше присвоен на процес.
4689	Един процес е приключил.

Подкатегория: RPC събития

ID	съобщение
5712	Беше направен опит за RPC повикване.

Категория: DS Access and Directory Service

ID	съобщение
4928	За AD е създаден NC за произход на репликация.
4929	Източник на репликация на Active Directory NC беше премахнат.
4930	NC на произход на репликация на AD беше модифициран.
4931	NC за местоназначение на реплика на AD беше променен.
4934	Атрибутите на AD обект бяха репликирани.
4935	Процесът на репликация е стартиран с грешки.
4936	Процесът на репликация завърши с грешки.
4937	Постоянен обект е премахнат от реплика.
4662	Извършена е операция върху обект от директория.
5136	Обект на директория беше променен.
5137	Създаден е обект на директория.
5138	Обект от директорията не е изтрит.
5139	Обект от директория е преместен.
4932	Синхронизацията на AD NC е започнала.
4933	Синхронизацията на AD NC е приключила.

Категория: Вход/Изход и IPsec

ID	съобщение
4978	Разширеният режим на IPsec е получил невалиден пакет за договаряне.
4979	SA бяха установени по първичен и разширен начин.
4980	SA бяха установени по първичен и разширен начин.
4981	SA бяха установени по първичен и разширен начин.
4982	SA бяха установени по първичен и разширен начин.
4983	Разширеното договаряне се провали; основният SA беше премахнат.
4984	Разширеното договаряне се провали; основният SA беше премахнат.

Подкатегория: IPsec основен режим

ID	съобщение
4646	Задействан е режим на смекчаване на DoS атаки от IKE.
4650	SA беше установена в основен режим без разширен режим; без сертификат.
4651	SA беше установена в основен режим без разширен режим; със сертификат.
4652	Преговорите се провалиха по същество.
4653	Преговорите се провалиха по същество.
4655	Приключи първична самоуправителна среща.
4976	При договаряне на основния режим е получен невалиден пакет.
5049	IPsec SA беше премахнат.
5453	IPsec преговорите са неуспешни, тъй като услугата IKEEXT не е инициирана.

Подкатегория: IPsec бърз режим

ID	съобщение
4654	Бързото IPsec договаряне се провали.
4977	Бързият режим получи невалиден пакет за договаряне.
5451	СА беше създадена бързо.
5452	Самостоятелното споразумение беше завършено бързо.

Подкатегории: Изход и Вход

ID	съобщение
4634	Един акаунт е излязъл от системата.
4647	Излизане, инициирано от потребителя.
4624	Влиза се в акаунт.
4625	Влизането не бе успешно.
4648	Опит за влизане с изрични идентификационни данни.
4675	Приложено е SID филтриране.

ВниманиеСъбитията на сървъра за мрежови правила (NPS) са достъпни от Windows Vista SP1 / Server 2008.

Подкатегория: Сървър за мрежови правила (NPS)

ID	съобщение
6272	NPS предостави достъп на потребител.
6273	NPS отказа достъп на потребител.
6274	NPS отхвърли потребителско запитване.
6275	NPS отхвърли заявката за управление на акаунта.
6276	NPS постави потребител под карантина.
6277	На NPS е предоставен достъп с пробен период поради неспазване на изискванията за поддръжка.
6278	На NPS е предоставен пълен достъп за съответствие с изискванията за поддръжка.
6279	NPS блокира акаунта поради многократни неуспешни опити за влизане.
6280	NPS отключи потребителския акаунт.

Подкатегория: Други събития за влизане/излизане

ID	съобщение
4649	Установена е репродуктивна атака.
4778	Повторно свързване на сесията към Window Station.
4779	Сесия на станция на прозорец е прекъсната.
4800	Работното място беше заключено.
4801	Работното място беше отключено.
4802	Скрийнсейвърът беше активиран.
4803	Скрийнсейвърът се затвори.
5378	Делегирането на пълномощия не е разрешено от директивата.
5632	Заявка за удостоверяване на Wi-Fi мрежа.
5633	Заявка за удостоверяване на кабелна мрежа.

Подкатегория: Специален вход

ID	съобщение
4964	Специални групи бяха присвоени на ново потребителско име.

Категория: Достъп до обекти и одит на ресурси

ID	съобщение
4665	Опит за създаване на контекст на клиент на приложението.
4666	Приложението е направило опит за транзакция.
4667	Контекстът на клиента на приложението беше премахнат.
4668	Приложението не можа да бъде инициализирано.

Подкатегория: Сертификационни и OCSP услуги

Ключови събития на Сертифициращия орган (CA) и OCSP отговорника, свързани с жизнен цикъл на сертификатаПубликуване на CRL, промени в конфигурацията, архивиране и възстановяване:

ID	съобщение
4868	Администраторът на сертификата отхвърли чакаща заявка.
4869	КО е получил препратено искане.
4870	Сертификатният орган е отменил сертификат.
4871	Упълномощеният орган получи заявка за публикуване на CRL.
4872	CA публикува CRL.
4873	Разширението на приложението за сертификат беше променено.
4874	Атрибутите на заявката бяха променени.
4875	CA получи заявка за изключване.
4876	Резервното захранване с променлив ток беше стартирано.
4877	Резервното захранване с променлив ток беше завършено.
4878	Започна възстановяването на CA.
4879	Възстановяването на CA е завършено.
4880	Услугата CA започна.
4881	Климатизираното обслужване беше спряно.
4882	Разрешителните за сигурност на CA бяха променени.
4883	Архивиран ключ е възстановен.
4884	Сертификатът е импортиран в базата данни.
4885	Филтърът за одит на CA беше променен.
4886	Сертификатният орган (CA) е получил заявка за сертификат.
4887	Управителният орган одобри заявлението и издаде сертификат.
4888	Сертификатният орган (CA) отхвърли заявка за сертификат.
4889	Компетентният орган отправи запитване за статуса на висящо заявление.
4890	Настройките на администратора на сертификатите бяха променени.
4891	Запис в конфигурацията на климатика беше променен.
4892	Свойство на CA беше променено.
4893	CA подаде ключ.
4894	Сертификатният орган (CA) импортира и архивира ключ.
4895	Сертификатният орган публикува своя сертификат в AD DS.
4896	Редове бяха изтрити от базата данни със сертификати.
4897	Разделянето на задълженията е активирано.
4898	КО качи шаблон.
4899	КО актуализира шаблон.
4900	Защитата на шаблона за CA беше актуализирана.
5120	Услугата OCSP Responder беше стартирана.
5121	Услугата OCSP Responder беше спряна.
5122	Запис в конфигурацията в OCSP беше променен.
5123	Друг конфигурационен запис в OCSP беше променен.
5124	Конфигурацията за OCSP сигурност беше актуализирана.
5125	Изпратена е заявка до услугата OCSP.
5126	OCSP автоматично поднови сертификата за подпис.
5127	Доставчикът на услуги за отмяна успешно актуализира информацията за отмяната.

Подкатегория: Споделяне на файлове

ID	съобщение
5140	Достъпен е споделен мрежов обект.

Подкатегория: Файлова система

ID	съобщение
4664	Опитайте се да създадете физическа връзка.
4985	Статусът на транзакцията се промени.
5051	Файлът беше виртуализиран.

Подкатегории: Платформа за филтриране на Windows (връзки и пакети)

ID	съобщение
5031	Защитната стена на Windows блокира приложение, което слушаше.
5154	WFP позволи на приложение да слуша на порт.
5155	WFP блокира слушането на порт.
5156	WFP разреши връзка.
5157	WFP блокира връзка.
5158	WFP позволи връзката към локален порт.
5159	WFP блокира връзката към локален порт.
5152	WFP блокира пакет.
5153	По-рестриктивен филтър блокира пакет.

Подкатегории: Манипулиране на идентификатори и достъп до обекти

ID	съобщение
4656	За обект е поискан идентификатор.
4658	Идентификаторът на обект беше затворен.
4690	Опит за дублиране на идентификатор на обект.
4671	Приложение се опита да осъществи достъп до блокиран порядков номер чрез TBS.
4691	Заявен е непряк достъп до обект.
4698	Създадена е планирана задача.
4699	Планирана задача беше премахната.
4700	Планирана задача беше активирана.
4701	Планирана задача беше деактивирана.
4702	Планирана задача беше актуализирана.
5888	Обект в каталога на COM+ е променен.
5889	Обект е премахнат от каталога на COM+.
5890	Добавен е обект към каталога на COM+.

Подкатегория: Регистър

ID	съобщение
4657	Стойност в записа беше променена.
5039	Ключ от системния регистър беше виртуализиран.

Подкатегория: Специално многофункционално (достъп/изтриване)

ID	съобщение
4659	Беше поискан идентификатор с намерението да бъде изтрит.
4660	Един обект беше премахнат.
4661	За обект е поискан идентификатор.
4663	Опит за достъп до обект.

Категория: Промяна на политиката

ID	съобщение
4715	Промяна на SACL на обект.
4719	Промяна в политиката за системен одит.
4902	Таблицата с правила за одит е създадена за всеки потребител.
4904	Опит за записване на произхода на събитията, свързани със сигурността.
4905	Опит за отмяна на регистрацията на източника за сигурност.
4906	CrashOnAuditFail се промени.
4907	Настройките за одит на обект бяха променени.
4908	Актуализирана таблица със специални стартови групи.
4912	Политиката за одит се променя за всеки потребител.

Подкатегория: Промяна в политиката за удостоверяване

ID	съобщение
4706	Създадено е ново доверие за домейн.
4707	На домейн е дадено ново доверие.
4713	Директивата Kerberos беше променена.
4716	Информацията за доверен домейн беше променена.
4717	Достъп до системата за сигурност беше предоставен на акаунт.
4718	Достъпът до системата за сигурност беше отнет от акаунт.
4864	Открит е колизия на именни пространства.
4865	Добавен е запис за надеждна информация за горите.
4866	Записът с информация за доверената гора беше премахнат.
4867	Входът към доверената гора беше променен.

Подкатегория: Промяна на политиката за оторизация

ID	съобщение
4704	Беше присвоено потребителско право.
4705	Право на потребител е премахнато.
4714	Промяна в политиката за възстановяване на криптирани данни.

Подкатегория: Промяна в политиката на платформата за филтриране

Той включва Стартиране/спиране на IPsec, прилагане/зареждане на политики от AD или локален регистър, грешки в PAStore engine и промени в криптографските набори, правила и WFP подслоеве:

4709	IPsec услугите бяха стартирани.
4710	IPsec услугите бяха деактивирани.
4711	PAStore е приложил или не е успял да приложи IPsec политики (AD/register/local).
4712	IPsec откри потенциално сериозна грешка.
5040-5048	Промени в конфигурацията на IPsec: набори за удостоверяване и криптиране, правила за сигурност на връзката.
5440-5444	Повиквания, филтри, доставчици, контексти и подслоеве, налични при стартиране на WFP.
5446, 5448-5450	Промени в WFP повикването/доставчика/контекста/подслоя.
5456-5468, 5471-5474, 5477	Прилагане/сондиране/зареждане на IPsec политики и свързани с тях грешки (AD/локални).

Подкатегория: Промяна на политиката на ниво правило на MPSSVC

4944-4945	Активни политики и правила при стартиране на защитната стена на Windows.
4946-4948	Добавено/променено/изтрито е правило за изключение на защитната стена.
4949	Възстановяване на конфигурацията на защитната стена.
4950-4953	Промени в конфигурацията/игнориране на правилата по версия.
4954	Приложен е GPO на защитната стена.
4956	Промяна на активния профил на защитната стена.
4957-4958	Правилата не са приложени поради несъвместимости/конфигурация.
5050	Опит за деактивиране на защитната стена с неподдържан API.

Подкатегория: Други събития, свързани с промяна на правилата

4909-4910	Промени в локалните правила/групови политики за TBS.
5063-5070	Операции и промени в криптографските доставчици/функции.
5447	Филтърът на WFP беше променен.
6144	Политиката за сигурност на GPO е успешно приложена.
6145	Грешки при обработката на политиката за сигурност в GPO.

Подкатегория: Специални многофункционални (разрешения)

4670	Разрешенията за обект бяха променени.

Категория: Използване на привилегии

4672	Специални привилегии, присвоени на новото потребителско име.
4673	Извикана е привилегирована услуга.
4674	Опит за работа с привилегирован обект.

Категория: Системни и други системни събития

4960-4965	IPsec пакети, изгубени поради неправилна целостност/възпроизвеждане/SPI или некриптиран текст.
5478-5485	Стартиране/спиране на IPsec услугата, критични грешки и PnP интерфейс.
5024-5037	Грешки при стартиране/спиране/спиране на защитната стена на Windows и драйвера.
5058-5059	Ключови файлови операции и миграция на главници.

Подкатегория: Промяна на статуса на сигурност

4608	Windows се стартира.
4616	Системното време беше променено.
4621	Администраторът възстанови системата от CrashOnAuditFail.

Подкатегория: Разширение на системата за сигурност

4610	LSA зареди пакет за удостоверяване.
4611	Доверен процес на вход, регистриран в LSA.
4614	SAM качи пакет с известия.
4622	LSA зареди пакет за сигурност.
4697	На системата беше инсталирана услуга.

Подкатегория: Системна цялост

4612	Изчерпване на вътрешните ресурси: загуба на одити.
4615	Невалидно използване на LPC порт.
4618	Беше открит модел на наблюдавани събития за сигурност.
4816	RPC откри нарушение на целостта по време на декриптиране.
5038	Цялостност на кода: невалиден хеш на изображението или променен файл.
5056	Беше извършен криптографски тест.
5057	Примитивна криптографска операция се провали.
5060	Операцията за проверка не бе успешна.
5061	Регистрирана крипто операция.
5062	Извършен е криптографски самотест в режим на ядрото.

Практически справочни команди (повдигната конзола)

Да се ​​изброят категориите и подкатегориите на одита:

одитпол /списък /подкатегория:*

За да видите ефективната конфигурация на одита:

auditpol /get /category:*

и за експортиране на схемата на доставчика на сигурност в текст:

wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true > C:\EventosAuditoria.txt

Ако трябва да проверите канала за сигурност чрез SDDL:

wevtutil GL сигурност

и ако е приложимо, коригирайте низа за достъп:

wevtutil sl security /ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)

Не забравяйте да идентифицирате SID на акаунта с:

wmic потребителски акаунт, където име = 'Име на акаунт' получава sid

В среди с домейн контролери, комбинирайте гранулирана настройка с подкатегории, използвайки auditpol и разумно използване на GPO Това ще ви позволи да поддържате записи чисти и смислени, намалявайки време на анализ и повишаване на качеството на вашите изследвания.

Ключът е да се намери балансът: одитирайте какво е необходимо (влизане/излизане, промени в групите, достъп до чувствителни обекти, DS/репликация, интегритет, защитна стена/Според програмите за прехрана на потребителитеи да се уверите, че сервизните акаунти, които събират трупи Те имат правилен достъп за четене (четци на журнали на събития или коригиран SDDL). С auditpol и wevtutil, това прецизно администриране се постига без загуба на обратна съвместимост, когато е абсолютно необходимо.