*Cube-Host– облачный хостинг!!

получить консультацию
WhatsApp Telegram
RU

Использование активации политики аудита Windows

Using Windows Audit Policy Activation

Превратите журналы Windows в реальную информацию о безопасности

На производственном сервере «безопасность» без доказательств — это всего лишь догадки. Надлежащий аудит Windows дает ответы на практические вопросы: кто вошел в систему, что было изменено, какой процесс запущен и пытался ли кто-то взломать RDP методом перебора.

Если вы запускаете рабочие нагрузки на VPS под управлением Windows, включение политики аудита — один из самых быстрых способов улучшить реагирование на инциденты и обеспечить соответствие нормативным требованиям. На VPS-хостинге это также помогает быстрее устранять неполадки, поскольку вы можете соотнести «что произошло» с «когда это произошло».

Что на самом деле делает политика аудита Windows

Политика аудита определяет, какие действия, имеющие отношение к безопасности, записываются в журнал событий безопасности. Это ваша основная временная шкала для:

  • успешных и неудачных входов в систему (локальных, RDP, входов служб),
  • привилегированных действий (администраторские права, изменения политики),
  • изменений учетных записей и групп (новые пользователи, добавленные администраторы),
  • создания процессов (что выполнялось на сервере),
  • доступ к объектам (файлы/реестр) — когда вы явно включаете аудит для целевых объектов.

Прежде чем включить все: избегайте перегрузки журналов

Распространенной ошибкой является включение всех категорий аудита, в результате чего важная информация теряется в общем шуме. Для сред VPS более эффективный подход заключается в следующем:

  • Сначала включите базовый набор, охватывающий аутентификацию и действия администраторов.
  • Включите аудит доступа к объектам только для критически важных папок/ключей (в противном случае объем журналов может резко возрасти).
  • Увеличьте размер журнала безопасности и регулярно экспортируйте/пересылайте журналы.

Шаг 1: Проверьте текущую конфигурацию аудита

Запустите от имени администратора:

auditpol /get /category:*

Если вы управляете сервером через GPO, помните, что политики домена могут переопределять локальные настройки. На автономном VPS обычно достаточно локальных настроек.

Шаг 2: Отдайте предпочтение расширенной политике аудита (детальные подкатегории)

Современные версии Windows используют расширенную политику аудита (десятки подкатегорий). Чтобы избежать конфликтов между «устаревшими категориями» и подкатегориями, включите политику:

  • Локальная политика безопасности → Параметры безопасности → Локальные политики → Параметры безопасности
  • Аудит: Принудительно применять настройки подкатегорий политики аудита … → Включено

Дополнительно (для автономных серверов): вы также можете применить это через реестр (запустите от имени администратора) и перезагрузите систему:

reg add "HKLMSYSTEMCurrentControlSetControlLsa" /v SCENoApplyLegacyAuditPolicy /t REG_DWORD /d 1 /f

Шаг 3: Включите практическую базовую конфигурацию VPS (рекомендуется)

Следующие настройки обеспечивают надежную защиту и устранение неполадок, не перегружая журналы. Запустите эти команды от имени администратора:

:: Logon events (RDP/interactive/service)
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Logoff" /success:enable /failure:enable
auditpol /set /subcategory:"Special Logon" /success:enable /failure:disable

:: Account logon (Kerberos/NTLM where applicable)
auditpol /set /subcategory:"Credential Validation" /success:enable /failure:enable

:: Account management (users/groups)
auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable

:: Policy changes and privilege usage
auditpol /set /subcategory:"Audit Policy Change" /success:enable /failure:enable
auditpol /set /subcategory:"Authorization Policy Change" /success:enable /failure:enable
auditpol /set /subcategory:"Sensitive Privilege Use" /success:enable /failure:enable

:: Process creation (great for incident response)
auditpol /set /subcategory:"Process Creation" /success:enable /failure:disable

Примечание: для событий «Доступ к объекту» (файлы/реестр) необходимо выполнить два условия: (1) включить подкатегорию аудита и (2) настроить аудит SACL для конкретной папки/ключа. Без SACL вы можете не увидеть практически ничего, даже если «Доступ к объекту» включен.

Дополнительно: аудит конкретной «конфиденциальной» папки (файлов)

Сначала включите аудит файловой системы:

auditpol /set /subcategory:"File System" /success:enable /failure:enable

Затем настройте аудит (SACL) для папки:

  • Щелкните правой кнопкой мыши папку → Свойства → Безопасность → Дополнительно → Аудит → Добавить
  • Выберите субъект (например, «Все» или конкретную группу), затем выберите события (Чтение/Запись/Удаление)

Это правильный способ обеспечить значимость журналов: проводить аудит только того, что имеет значение.

Где искать: наиболее полезные идентификаторы событий безопасности

  • 4624 — успешный вход в систему
  • 4625 — неудачный вход в систему (перебор паролей, неверный пароль, несуществующий пользователь)
  • 4672 — присвоение специальных привилегий новому пользователю (типа администратора)
  • 4688 — создание процесса (что было запущено)
  • 4720 / 4726 — пользователь создан / удален
  • 4728 / 4729 — член добавлен/удален из глобальной группы с включенной безопасностью
  • 4719 — изменение политики аудита
  • 1102 — журнал безопасности был очищен (высокий приоритет)

Быстрые запросы с помощью PowerShell (решение реальных проблем)

Показать неудачные входы в систему за последние 24 часа:

$since = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=$since} |
  Select-Object TimeCreated, Id, Message |
  Select-Object -First 30

Показать события создания процессов (если включено) и выполнить поиск по подозрительному имени исполняемого файла:

$since = (Get-Date).AddHours(-6)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$since} |
  Where-Object { $_.Message -match 'powershell|cmd.exe|wscript|rundll32' } |
  Select-Object TimeCreated, Message |
  Select-Object -First 20

Хранение журналов: увеличьте размер и регулярно экспортируйте

На серверах, подключенных к Интернету, крайне важно хранить журналы дольше. Увеличьте максимальный размер журнала безопасности (например, до 256 МБ):

wevtutil sl Security /ms:268435456

Экспорт журнала безопасности для архивирования или реагирования на инциденты:

mkdir C:Logs 2>nul
wevtutil epl Security C:LogsSecurity_$(Get-Date -Format yyyyMMdd_HHmm).evtx

Заключительный контрольный список для аудита Windows VPS

  • Включены базовые подкатегории (Вход в систему, Управление учетными записями, Изменение политики, Создание процессов).
  • Размер журнала безопасности увеличен; настроены экспорт и пересылка.
  • Аудит доступа к объектам только для критически важных папок/ключей реестра (SACL настроен).
  • Синхронизация времени налажена (журналы бесполезны, если временные метки не совпадают).

Если вам нужна предсказуемая среда для этих базовых настроек безопасности, начните с управляемого VPS под Windows и контролируйте поверхность доступа с помощью правил брандмауэра хостинга VPS и надежной аутентификации.

Prev

More articles:

Menu