Рассмотрение идентификационных номеров событий в Windows Server 2008 и Vista

Вы желали отследить, что происходит с компом, но у вас было недостаточно инфы для отслеживания действия? Эта статья вооружит вас познаниями, как отследить фактически каждое событие, происходящее на компьютере с Windows Server 2008 либо Windows Vista. И если к этим познаниям еще присовокупить сведения из не так давно мной размещенной статьи о централизованном ведении журнальчика, вы будете находиться в безупречной ситуации, когда у вас заносятся в журнальчик только те действия, которые вам будет необходимо просмотреть в центре. А прекраснее всего то, что все это безвозмездно!

Настройка журнальчика безопасности

Чтоб вам отлично осознать отдельные нюансы отслеживания событий в журнальчике безопасности компьютера, поначалу необходимо запустить сам журнальчик безопасности. Большая часть компов с Windows (кроме неких контроллеров доменов) не начинают вести журнальчик безопасности по дефлоту. Это сразу и недочет, и преимущество. Недочет в том, что без вашего вмешательства компьютер не начнет вести журнальчик событий, касающихся безопасности. С другой стороны, журнальчик не будет без помощи других заполняться, создавая тем потенциальную возможность ошибок при переполнении журнальчика. Такое происходило в контроллерах доменов Windows Server 2003, при этом без предупреждения.

Отслеживание событий в журнальчике безопасности устанавливается и настраивается с внедрением групповой политики. Вы, естественно, сможете сделать локальный объект групповой политики, но это не очень отлично, потому что вам придется создавать такие объекты на каждом компьютере раздельно. Вам необходимо пользоваться групповой политикой в Active Directory для установки журналов на многих компьютерах с одним набором опций. Чтоб установить отслеживание событий в журнальчике безопасности поначалу откройте консоль Group Policy Management Console (GPMC) на компьютере, присоединенном к домену, и войдите в систему с возможностями админа.

В GPMC вы видите все ваши организационные единицы (Оrganizational Unit – OU) (если вы их уже делали), также как и все ваши GPO (если вы делали их дополнительно сверх 2-ух по дефлоту). Для данного примера представим, что у нас есть одна OU, содержащая компы, в каких необходимо будет выслеживать единообразную информацию в журнальчике безопасности. Мы воспользуемся OU Desktops и GPO AuditLog.

Запустите редактирование GPO AuditLog, а потом раскройте последующий узел:

Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesAudit Policy

После чего вы увидите перечень настраиваемых категорий контроля (Набросок 1).

Рассмотрение идентификационных номеров событий в Windows Server 2008 и Vista
Прирастить

Набросок 1: Категории Audit Policy позволяют указывать определенные области, информацию о которых вы желаете вносить в журнальчик

Любая настройка политики обладает 2-мя опциями: Success(Фуррор) и Failure(Беда). Для опции категорий отметьте Define These Policy Settings(Найти опции этой политики), как показано на Рисунке 2.

Рассмотрение идентификационных номеров событий в Windows Server 2008 и Vista

Набросок 2: Поначалу необходимо найти каждую политику контроля, потом необходимо указать тип контроля

Ниже перечислено, что конкретно держит под контролем любая категория:

Audit account logon events(Проверка действия входа в акк) – Всякий раз, когда юзер заходит и выходит из системы, удостоверяется, делает ли компьютер проверку. Показательный пример – когда юзер входит в систему Windows XP Professional, происходит аутентификация контроллером домена. Потому что контроллер домена инспектирует юзера, событие генерируется на контроллере домена. Эта настройка врубается по дефлоту только для контроллеров домена Windows Server 2003, которые настраиваются на проверку удачливости этих событий. Обычно рекомендуется включить эту проверку на всех контроллерах доменов и серверах. Я нередко обнаруживал такое в различных средах, где на клиентах тоже врубается проверка таких событий.

Audit account management (Проверка управления аккаунтом) – Будет проверяться каждое событие, связанное с пользовательским управлением аккаунтом (юзером, группой либо компом) в базе данных юзеров на компьютере, где включена эта проверка. Вот примеры таких событий:

Создание пользовательского аккаунта
Добавлением юзера в группу
Переименование пользовательского аккаунта
Изменение пароля для пользовательского аккаунта

Для контроллеров домена будут проверяться конфигурации в доменных аккаунтах (подробнее см. статью Проверка юзеров и групп при помощи журнальчика безопасности Windows). Для сервера либо клиента будет проверяться локальный Security Accounts Manager и аккаунты, расположенные там. Эта настройка врубается по дефлоту только для контроллеров домена Windows Server 2003, которые настраиваются на проверку удачливости этих событий. Чтоб выяснить, как инспектировать пользовательские аккаунты, не охватываемые журнальчиками безопасности и опциями проверок, читайте последующую статью: Проврека пользовательских аккаунтов.

Audit directory service access (Проверка доступа к службе каталогов) – Будет произведена проверка каждого действия, связанного с пользовательским доступом к объекту Active Directory, на котором включено отслеживание пользовательского доступа через System Access Control List (SACL) объекта. SACL объекта Active Directory определяет три вещи:

Отслеживаемый акк (обычно юзер либо группа)
Тип проверяемого доступа (к примеру, чтение, создание, изменение и т.д.)
Удачливость либо неуспешность доступа к объекту

Так как каждый объект имеет уникальный SACL, уровень контроля над отслеживаемым объектом может быть очень четким. Эта настройка врубается только для контроллеров доменов Windows Server 2003, настроенных инспектировать удачливость действия. Рекомендуется включать проверку и удачливости, и неуспешности доступа к службе каталогов для всех контроллеров доменов.

Audit logon events (Проверка событий подключения) – Будет испытано каждое событие, связанное с входом в систему, выходом из системы, сетевым подключениям к компьютерам, настроенным проводить эту проверку. В качестве примера можно привести ситуацию, когда юзер подключается к рабочей станции, используя акк юзера домена. При всем этом генерируется событие на рабочей станции, но не на контроллере доменов, выполнявшем аутентификацию. В сути, действия отслеживаются там, где совершается попытка входа в систему, а не там, где размещается акк. Эта настройка врубается по дефлоту только для контроллеров домена Windows Server 2003, которые настраиваются на проверку удачливости этих событий. Обычно рекомендуется вносить эти действия в журнальчик на всех компьютерах в сети.

Audit object access (Проверка доступа к объектам) – Будет проверяться каждое событие доступа юзера к объекту. Перечень объектов содержит в себе файлы, папки, принтеры, ключи реестра и объекты Active Directory. В реальности, хоть какой объект, имеющий SACL, будет включен в эту форму проверки. Как и в случае с проверкой доступа к каталогам, каждый объект обладает уникальным SACL, разрешая мотивированные проверки личных объектов. По дефлоту объекты не проверяются, означает, обычное включение этой опции не окажет воздействие на записи в журнальчиках. И только после включения проверки и настраивания SACL для объекта, в журнальчике начнут появляться записи при попытках подключения к объекту. Обычно не стоит настраивать таковой уровень проверок до появления острой необходимости в отслеживании доступа к ресурсам. В очень защищенных средах таковой уровень обычно находится, а многие объекты настраивается на проверку доступа.

Audit policy change (Проверка конфигураций в политике) – Будет проверяться каждое событие, связанное с переменами одной из 3-х областей политики на компьютере. Вот эти области:

Раздача пользовательских прав
Политики проверок
Доверенные дела

Эта настройка врубается по дефлоту только для контроллеров домена Windows Server 2003, которые настраиваются на проверку удачливости этих событий. Идеальнее всего настроить этот уровень проверок для всех компов в сети.

Audit privilege use (Проверка использования льгот) – Будет испытано каждое событие, имеющее отношение к выполнению юзером задачки, связанной с правами юзера. Перечень пользовательских прав довольно широк (Набросок 3).

Рассмотрение идентификационных номеров событий в Windows Server 2008 и Vista

Набросок 3: Перечень прав юзера в компьютере с Windows

Этот уровень проверок не врубается по дефлоту на отслеживание событий для хоть какой операционной системы. Идеальнее всего настроить эти проверки для всех компов в сети.

Audit process tracking (Проверка отслеживания процесса) – Будет испытано каждое событие, связанное с процессами в компьютере. В качестве примера можно привести активацию программ, окончание процесса, обработка дублирования и непрямой доступ к объектам. Этот уровень проверок создаст лишнее число событий, и обычно не врубается, не считая случаев отслеживания приложения с целью решения заморочек.

Audit system events (Проверка системных событий) – Будут испытаны даже действия, связанные с перезагрузкой и выключением компьютера. Также при включенной проверке будут отслеживаться действия, связанные с информационной безопасностью системы и журнальчиком безопасности. Это нужная проверка для компьютера, на котором необходимо выслеживать не только лишь действия, заносимые в журнальчик, да и действия, когда журнальчик очищается. Эта настройка врубается по дефлоту только для контроллеров домена Windows Server 2003, которые настраиваются на проверку удачливости этих событий. Идеальнее всего настроить этот уровень проверок для всех компов в сети.

Идентификационные номера событий по категориям проверок

Будучи опытным специалистом в области администрирования и информационной безопасности, я нашел, что некие действия более важны, чем другие, когда речь входит об отслеживании и анализе информационной безопасности. При всем этом есть тыщи событий, которые могут генерироваться в журнальчике безопасности, потому у вас должен быть метод расшифровки номеров событий, чтоб знать, за какими из их необходимо смотреть. Вот перечень неких более принципиальных событий по категориям, которые вы, может быть, возжелаете выслеживать.

Проверка действия входа в акк

Идентификационный номер действия Описание

4776 – Контроллер домена пробовал проверить данные для входа в акк

4777 – Контроллеру домена не удалось проверить данные для входа в акк

4768 – Запрошен билет Kerberos authentication ticket (TGT)

4769 – Запрошен служебный билет Kerberos

4770 – Обновлен служебный билет Kerberos

Проверка управления аккаунтом

Идентификационный номер действия Описание

4741 – Сотворен акк компьютера.

4742 – Изменен акк компьютера.

4743 – Удален акк компьютера.

4739 – Изменена политика домена.

4782 – Произведен доступ к хэшу пароля от аккаунта.

4727 – Сотворена защищенная глобальная группа безопасности.

4728 – Добавлен участник в защищенную глобальную группу безопасности.

4729 – Удален участник из защищенной глобальной группы безопасности.

4730 – Удалена защищенная глобальная группа безопасности.

4731 – Сотворена защищенная локальная группа безопасности.

4732 – Добавлен участник в защищенную локальную группу безопасности.

4733 – Удален участник из защищенной локальной группы безопасности.

4734 – Удалена защищенная локальная группа безопасности.

4735 – Изменена защищенная локальная группа безопасности.

4737 – Удалена защищенная глобальная группа безопасности.

4754 – Сотворена защищенная универсальная группа безопасности.

4755 – Изменена защищенная универсальная группа безопасности.

4756 – Добавлен участник в защищенную универсальную группу безопасности.

4757 – Удален участник из защищенной универсальной группы безопасности.

4758 – Удалена защищенная универсальная группа безопасности.

4720 – Сотворен пользовательский акк.

4722 – Включен пользовательский акк.

4723 – Предпринята попытка поменять пароль к аккаунту.

4724 – Предпринята попытка скинуть пароль к аккаунту.

4725 – Отключен пользовательский акк.

4726 – Удален пользовательский акк.

4738 – Изменен пользовательский акк.

4740 – Заблокирован пользовательский акк.

4765 – История SID добавлена к аккаунту.

4766 – Попытка добавить историю SID к аккаунту не удалась.

4767 – Разблокирован пользовательский акк .

4780 – Установлен ACL на аккаунты, являющиеся членами группы админов.

4781 – Изменено имя аккаунта:

Проверка доступа к службе каталогов

4934 – Реплицированы атрибуты объекта Active Directory.

4935 – Начинается ошибка репликации.

4936 – Заканчивается ошибка репликации.

5136 – Изменен служебный объект каталога.

5137 – Сотворен служебный объект каталога.

5138 – Отменено удаление служебного объекта каталога.

5139 – Перемещен служебный объект каталога.

5141 – Удален служебный объект каталога.

4932 – Началась синхронизация высказывания контекста именования Active Directory.

4933 – Закончилась синхронизация высказывания контекста именования Active Directory.

Проверка событий подключения

4634 – Произведен выход из аккаунта.

4647 – Юзер инициировал выход из системы.

4624 – Удачно произведен вход в акк.

4625 – Не удалось выполнить вход в акк.

4648 – Произведена попытка входа в систему с внедрением открытых входных данных.

4675 – Отфильтрованы SID.

4649 – Найдена атака повтора.

4778 – Переустановлена сессия с рабочей станцией.

4779 – Отключена сессия с рабочей станцией.

4800 – Заблокирована рабочая станция.

4801 – Разблокирована рабочая станция.

4802 – Включена экранная заставка.

4803 – Отключена экранная заставка.

5378 Запрошенная отправка идентификационных данных не была разрешена политикой.

5632 Произведен запрос на аутентификацию беспроводной сети.

5633 Произведен запрос на аутентификацию проводной сети.

Проверка доступа к объектам

5140 – Произведен доступ к общему сетевому ресурсу.

4664 – Произведена попытка сотворения жесткой ссылки.

4985 – Изменено состояние транзакции.

5051 – Виртуализирован файл.

5031 – Служба Windows Firewall Service перекрыла приложение, пытавшееся принять входящее соединение с сетью.

4698 – Сотворена задачка по расписанию.

4699 – Удалена задачка по расписанию.

4700 – Включена задачка по расписанию.

4701 – Отключена задачка по расписанию.

4702 – Обновлена задачка по расписанию.

4657 – Изменена задачка по расписанию.

5039 – Виртуализирован ключ реестра.

4660 – Удален Объект.

4663 – Произведена попытка доступа к объекту.

Проверка конфигураций в политике

4715 – Изменена политика проверки (SACL) объекта.

4719 – Изменена политика проверки системы.

4902 – Сотворена таблица политик проверки юзеров.

4906 – Изменено значение CrashOnAuditFail.

4907 – Изменены опции политики проверки объекта.

4706 – Установлено доверие к домену.

4707 – Убрано доверие к домену.

4713 – Изменена политика Kerberos.

4716 – Изменена доверенная информация о доменах.

4717 – Аккаунту предоставлен доступ к информационной безопасности системы.

4718 – Акк лишен доступа к информационной безопасности системы.

4864 – Найдена коллизия пространств имен.

4865 – Добавлена запись о доверенном лесе.

4866 – Удалена запись о доверенном лесе.

4867 – Изменена запись о доверенном лесе.

4704 – Установлено правило для юзера.

4705 – Удалено правило для юзера.

4714 – Изменена политика восстановления зашифрованных данных.

4944 – Последующая политика была активна в момент, когда был запущен Windows Firewall.

4945 – Отмечено правило в момент, когда был запущен Windows Firewall.

4946 – Произведено изменение в перечне исключений Windows Firewall. Добавлено правило.

4947 – Произведено изменение в перечне исключений Windows Firewall. Изменено правило.

4948 – Произведено изменение в перечне исключений Windows Firewall. Удалено правило.

4949 – Опции Windows Firewall восстановлены по дефлоту.

4950 – Изменена конфигурация Windows Firewall.

4951 – Правило было проигнорировано, потому что его главный номер версии не распознан Windows Firewall.

4952 – Части правила были проигнорированы, потому что их дополнительные номера версий не распознаны Windows Firewall. Другие части правил выполнены.

4953 – Правило было проигнорировано Windows Firewall, потому что брандмауэр не сумел прочесть правило.

4954 – Опции групповой политики в Windows Firewall изменены. Новые правила вступили в силу.

4956 – Изменен активный профиль Windows Firewall.

4957 – Windows Firewall не применил последующее правило:

4958 – Windows Firewall не применил последующее правило, потому что это правило ссылалось на элементы, не настроенные на этом компьютере:

6144 – Политика безопасности для объектов групповых политик удачно использована.

6145 – Одна либо более ошибок вышло при обработке политики безопасности для объектов групповых политик.

4670 – Изменены разрешения по отношению к объекту .

Проверка использования приемуществ

4672 – При новеньком входе в систему приписаны особые привилегии.

4673 – Вызвана привилегированная служба.

4674 – Произведена попытка воздействия на привилегированный объект.

Проверка системных событий

5024 – Удачно запущена служба Windows Firewall Service.

5025 – Остановлена служба Windows Firewall Service.

5027 – Службе Windows Firewall Service не удалось получить доступ к политике безопасности в локальном хранилище. Служба применит текущую политику.

5028 – Служба Windows Firewall Service не смогла прочесть новейшую политику безопасности. Служба будет работать с текущей политикой.

5029 – Службе Windows Firewall Service не удалось инициировать драйвер. Служба будет работать с текущей политикой.

5030 – Службе Windows Firewall Service не удалось запуститься.

5032 – Windows Firewall не сумел уведомить юзера о том, что он перекрывает пробы приложения установить входящее соединение с сетью.

5033 – Драйвер Windows Firewall Driver удачно запущен.

5034 – Драйвер Windows Firewall Driver остановлен.

5035 – Драйверу Windows Firewall Driver не удалось запуститься.

5037 – Драйвером Windows Firewall Driver найдена критичная ошибка. Работа прекращается.

4608 – Загружается Windows.

4609 – Windows выключается.

4616 – Изменено системное время.

4621 – Админа вернул систему после CrashOnAuditFail. Пользователям-неадминистраторам сейчас можно войти в систему. Некая проверочная информация могла остаться несохраненной.

4697 – В системе установлена служба.

4618 – Произошел шаблон мониторинга действия, связанного с безопасностью.

Полный перечень событий можно получить тут.

.

Заключение

Microsoft продолжает добавлять действия, проявляющиеся в журнальчике безопасности в Event Viewer. После использования групповой политики для определения, какие категории вы будете инспектировать и выслеживать, вы сможете пользоваться расшифровкой событий выше для отслеживания только подходящей инфы о вашей среде. Если вы соедините действия с другими технологиями, к примеру, подписками, вы можете сделать отлично настроенный журнальчик событий, что поможет вам делать ваши обязанности и сохранить вашу сеть в безопасности.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.