В статье рассмотрим то, как мы можем проводить аудит безопасности системы Windows. Узнаем как настроить и смотреть логи связанные с аудитом.
Привилегии связанные с аудитом
С аудитом доступа связаны две привилегии:
- SeSecurityPrivilege — необходима для управления журналом событий безопасности и для просмотра или настройки SACL.
- SeAuditPrivilege — позволяет процессам, вызывать системные службы аудита для успешного генерирования записей аудита.
Настройка политики аудита
Настройка политики аудита осуществляется из оснастки «Локальная политика безопасности» (secpol.msc).
Схема работы аудита
LSASS отправляет сообщения SRM, чтобы проинформировать его о политике аудита в ходе инициализации системы, а потом при изменениях политики. В свою очередь LSASS получает события аудита от SRM, добавляет дополнительную информацию и отправляет их регистратору событий (Event Logger).
Записи аудита передаются от SRM к подсистеме безопасности LSASS одним из двух способов:
- если запись аудита невелика (меньше чем максимальный размер сообщения ALPC), она отправляется как ALPC-сообщение;
- ну а если запись аудита имеет большой размер, SRM использует общую память, чтобы сообщение было доступно LSASS, и просто передает указатель в ALPC-сообщении.
Аудит доступа к объекту
Аудит доступа к объекту по умолчанию выключен, как и другие политики аудита. Чтобы понаблюдать за тем, как работает аудит доступа к объекту, выполните следующие действия. В проводнике перейдите к файлу, к которому у вас есть доступ и откройте свойства этого файла, затем перейдите на вкладку «Безопасность«:
Там нажмите кнопку «Дополнительно» и перейдите на вкладку «Аудит«.
Затем нажмите кнопки «Продолжить» и «Добавить» и в открывшимся окне нажмите на ссылку «Выберите субъект«:
В открывшимся окне впишите логин своего пользователя и нажмите кнопку «Проверить имя«. Если ввели логин верно, то в списке пользователей отобразиться имя вашего пользователя:
Теперь нажмите на кнопку «ОК«, и выставьте все флажки в области «Особые разрешения» и ещё раз нажмите на кнопку «ОК«:
Затем нажмите ещё два раза на кнопку «ОК«, чтобы закрыть дополнительные параметры безопасности и свойства файла.
Дальше запустите оснастку secpol.msc и перейдите в «Локальные политики«. Там откройте «Аудит доступа к объектам» и поставьте флажок «Успех«, затем нажмите «ОК«:
Итак, политику аудита мы включили и на файле аудит настроили. Теперь откройте файл, запишите в него что нибудь и закройте сохранив изменения. Затем откройте журнал «eventvwr.exe» и перейдите в «Журналы Windows / Безопасность«:
Найдите событие с кодом 4656 — это и есть доступ к вашему файлу:
В событии вы увидите:
- ИД безопасности — это ваша учетная запись.
- Тип объекта — File.
- Имя объекта — путь к файлу.
- Имя процесса — путь к файлу программы (System32\notepad.exe).
- Ключевые слова — Аудит успеха.
- И другую информацию.
Глобальная политика аудита
Настраивать для каждого файла аудит безопасности не всегда удобно. Иногда нужно включить аудит безопасности для всех файлов или для всех разделов реестра разом. Делается это через командную строку.
Чтобы посмотреть краткую информацию о командах для настройки и запроса политики глобального аудита выполните:
>auditpol /resourceSACL
Чтобы посмотреть глобальные списки SACL для файловой системы и для реестра выполните такие команды:
>auditpol /resourceSACL /type:File /view >auditpol /resourceSACL /type:Key /view
Для установки аудита всех файлов с доступом на запись (FW) выполните:
> auditpol.exe /resourceSACL /set /type:File /user:<username> /success /failure /access:FW
В примере выше вместо имени пользователя можно ввести группу.
Чтобы выключить глобальный аудит, включенный предыдущей командой, выполните:
> auditpol.exe /resourceSACL /remove /type:File /user:<username>
Конфигурация расширенной политики аудита
В оснастке «Локальная политика безопасности» можно настроить конфигурацию расширенной политики аудита:
В этой конфигурации настройка политики аудита выполняется более тонко. Например, включение «Аудита доступа к объектам» рассматриваемое выше включало аудит для разных объектов. А тут можно выбрать тип объектов:
А «Аудит доступа к глобальным объектам» включает или отключает глобальные SACL, которые мы включали ранее из командной строки:
При включении «Аудита доступа к глобальным объектам» этот параметр нужно будет настроить, указав пользователей для аудита и тип доступа, в общем то что мы делали в командной строке выше:
