Настройка журнала безопасности windows
Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.
Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.
Где находится журнал событий Windows
Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.
Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.
Как открыть журнал
Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.
В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.
Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».
Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.
Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.
Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.
Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.
Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».
Как использовать содержимое журнала
Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.
Очистка, удаление и отключение журнала
На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».
Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:
Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:
wevtutil el | Foreach-Object
При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.
Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.
Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».
Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.
Вы можете настроить права доступа к безопасности для журналов событий в Windows Server 2012. Эти параметры можно настроить локально или с помощью групповой политики. В этой статье описывается использование обоих этих методов.
Применяется к: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Исходный номер КБ: 323076
Сводка
Вы можете предоставить пользователям одно или несколько следующих прав доступа к журналам событий:
Вы можете настроить журнал безопасности таким же образом. Однако вы можете изменять только разрешения на чтение и доступ к чистому доступу. Запись доступа к журналу безопасности зарезервирована только для Windows службы безопасности (LSA).
Для этого можно использовать политику административных шаблонов. Например, путь к системным событиям:
Конфигурация компьютера\Административные шаблоны\Windows компоненты\Служба журнала событий\Система
Параметр настраивает доступ к журналу и принимает ту же строку Определения дескриптора безопасности (SDDL).
Корпорация Майкрософт предлагает двигаться к этому методу после Windows Server 2012.
Настройка локальной безопасности журнала событий
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.
Безопасность каждого журнала настраивается локально с помощью значений в ключе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog реестра.
Например, Дескриптор безопасности журнала приложений настраивается по следующему значению реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
И Дескриптор безопасности системного журнала настраивается с помощью HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD .
Дескриптор безопасности для каждого журнала указывается с помощью синтаксиса SDDL. Дополнительные сведения о синтаксисе SDDL см. в разделе Platform SDK или в статье, упомянутой в разделе Ссылки этой статьи.
Чтобы создать строку SDDL, обратите внимание, что для журналов событий имеются три различных права: чтение, запись и очистка. Эти права соответствуют следующим битам в поле прав доступа строки ACE:
- 1= Чтение
- 2 = Write
- 4 = Clear
Ниже приводится пример SDDL, в который показана строка SDDL по умолчанию для журнала приложений. Права доступа (в hexadecimal) являются смелыми для иллюстрации:
O:BAG:SYD:(D;; 0xf0007;;; AN)(D;; 0xf0007;;; BG)(A;; 0xf0007;;; SY)(A;; 0x5;;; BA)(A;; 0x7;;; SO)(A;; 0x3;;I U)(A;; 0x2;;; BA)(A;; 0x2;;; LS)(A;; 0x2;;; NS)
Например, первый ACE не позволяет анонимным пользователям читать, писать и получать доступ к журналу. Шестой ACE позволяет интерактивным пользователям читать и записывать в журнал.
Изменение локальной политики, чтобы разрешить настройку безопасности журналов событий
Архивации файла %WinDir%\Inf\Sceregvl.inf в известное расположение.
Откройте %WinDir%\Inf\Sceregvl.inf в Блокнот.
Прокрутите до середины файла, а затем поместите указатель непосредственно перед [Strings].
Вставьте следующие строки:
Прокрутите до конца файла и вставьте следующие строки:
Журнал событий AppLogSD=". Укажите безопасность журнала приложений в синтаксисе определения дескриптора безопасности (SDDL) "
Журнал событий SysLogSD=": укажите безопасность журнала систем в синтаксис определения дескриптора безопасности (SDDL) "
Сохраните и закроите файл.
Выберите Начните, выберите выполнить, введите regsvr32 scecli.dll в поле Open, а затем нажмите кнопку ENTER.
В диалоговом окне DllRegisterServer в scecli.dll, выберите ОК.
Использование локальной групповой политики компьютера для набора безопасности приложения и системного журнала
- Выберите Начните, выберите Выполнить, введите gpedit.msc, а затем выберите ОК.
- В редакторе групповой политики развяви Windows параметры, Параметры безопасность, расширяй локальные политики, а затем расширяй параметры безопасности.
- Дважды щелкните журнал событий: журнал приложений SDDL, введите строку SDDL, которая требуется для безопасности журнала, а затем выберите ОК.
- Дважды щелкните журнал событий: системный журнал SDDL, введите строку SDDL, которая требуется для обеспечения безопасности журнала, а затем выберите ОК.
Используйте групповую политику для установки безопасности журнала приложений и систем для домена, сайта или организационного подразделения в Active Directory
Чтобы просмотреть параметры групповой политики, описанные в этой статье в редакторе групповой политики, сначала выполните следующие действия, а затем выполните групповую политику Use для установки раздела безопасность приложений и системных журналов:
Чтобы открыть Sceregvl.inf в папке %Windir%\Inf, используйте текстовый редактор, например Блокнот.
Добавьте следующие строки в раздел [Значения реестра реестра]:
MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2
Добавьте в раздел [Strings] следующие строки:
AppCustomSD="Eventlog: дескриптор безопасности для журнала событий приложения"
SecCustomSD="Eventlog: дескриптор безопасности для журнала событий безопасности"
SysCustomSD="Eventlog: дескриптор безопасности для журнала событий system"
DSCustomSD="Eventlog: дескриптор безопасности для журнала событий службы каталогов"
DNSCustomSD="Eventlog: дескриптор безопасности для журнала событий DNS Server"
FRSCustomSD="Eventlog: дескриптор безопасности для журнала событий службы репликации файлов"
Сохраните изменения, внесенные в файл Sceregvl.inf, а затем запустите regsvr32 scecli.dll команду.
Запустите Gpedit.msc и дважды щелкните следующие ветви, чтобы расширить их:
Конфигурация компьютера
Windows Параметры
Безопасность Параметры
Локальные политики
Параметры безопасности
Просмотр правой панели, чтобы найти новые параметры Eventlog.
Используйте групповую политику, чтобы установить безопасность журнала приложений и систем
В оснастке Сайтов и служб Active Directory или в оснастке Active Directory Users and Computers щелкните правой кнопкой мыши объект, для которого необходимо установить политику, а затем выберите Свойства .
Выберите вкладку Групповой политики.
Если необходимо создать новую политику, выберите New и определите имя политики. В противном случае перейдите к выполнению действия 5.
Выберите политику, которую вы хотите, а затем выберите Изменить.
Появляется оснастка MMC локальной групповой политики.
Расширение конфигурации компьютера, расширение Windows Параметры, расширение Параметры безопасности, расширение локальных политик, а затем выберите параметры безопасности.
Дважды щелкните журнал событий: журнал приложений SDDL, введите строку SDDL, которая требуется для безопасности журнала, а затем выберите ОК.
Дважды щелкните журнал событий: системный журнал SDDL, введите строку SDDL, которая требуется для обеспечения безопасности журнала, а затем выберите ОК.
Ссылки
Дополнительные сведения о синтаксисе SDDL и о том, как построить строку SDDL, см. в примере Security Descriptor String Format.
В этой статье автор осуществил описание централизованной системы мониторинга событий безопасности для Windows Server 2008.
Андрей А. Бирюков
Однако, если в вашей сети на серверах используется операционная система Windows Server 2008, то вы можете самостоятельно организовать централизованный мониторинг событий безопасности. Для начала поговорим о том, какие нововведения появились в системе журналирования в Windows Server 2008.
Level (уровень) – Это свойство определяет важность события.
Date and Time (дата и время) – Это свойство содержит информацию о дате и времени возникновения события.
Source (источник) – Это свойство указывает источник события: приложение, удаленный доступ, служба и так далее.
Event ID (Код события) – Каждому событию назначен идентификатор события ID, число, сгенерированное источником и уникальное для всех типов событий.
Task Category (Категория задачи) – Это свойство определяет категорию события. Например Security или System. .
Итак, мы разобрались с тем, что представляет из себя событие в журнале Windows Event Log. Теперь нам необходимо сначала настроить аудит событий информационной безопасности. Далее будем предполагать, что у нас используется домен Active Directory и все сервера входят в этот домен.
Audit account logon events
Audit account management
Audit directory service access
Audit logon events
Audit object access
включить, только если необходимо отслеживать доступ к определенным объектам (например, каталогам на диске).
Audit policy change
Audit privilege use
Audit process tracking
Audit system events
Подписки на события
После этого, выполните на нем же следующую команду:
При необходимости, вы можете изменять параметры оптимизации доставки событий. Например, вы можете изменить параметр Minimize Bandwidth (минимизация пропускной способности) для удаленных серверов, с ненадежным каналом связи.
Теперь необходимо собственно создать подписку, указав события, которые должны извлекаться из логов серверов источников. Для этого на собирающем сервере запустите утилиту просмотра событий с учетной записью, обладающей административными привилегиями. Затем щелкните на папке Subscriptions в дереве консоли и выберите команду Create Subscription (Создать подписку). В поле Subscription Name нужно указать имя подписки. При необходимости в поле Description можно привести описание. Затем, в поле Destination Log (журнал назначения) выберите файл журнала, в котором будут храниться собранные события. По умолчанию эти события будут храниться в журнале перенаправленных событий в папке Windows Logs дерева консоли. После этого, щелкните на кнопке Select Computers, чтобы выбрать исходные сервера, которые будут перенаправлять события. Как уже упоминалось ранее, данные сервера должны находиться в домене. Затем выберите события, нажав на кнопке Select Events. Сконфигурируйте журналы и типы событий, предназначенные для сбора. Щелкните ОК чтобы сохранить подписку.
Журналы
Папка Applications and Services Logs (журналы приложений и служб) представляют собой новый способ логической организации, представления и сохранения событий, связанных с конкретным приложением, компонентом или службой Windows вместо использовавшейся ранее, регистрации событий, которые оказывают влияние на всю систему. Эти журналы включают четыре подтипа: Admin (события, предназначенные для конечных пользователей и администраторов), Operational (Рабочий журнал событий, также предназначенный для администраторов), Analytic (журнал позволяет отслеживать цепочку возникновения проблемы и часто содержит большое количество записанных событий), Debug (используется для отладки приложений). По умолчанию журналы Analytic и Debug скрыты и отключены. Для того, чтобы их просмотреть, щелкните правой кнопкой мыши на папке Applications and Services Logs, а затем в контекстном меню выберите пункт View, Show Analytic and Debug Logs.
Рисунок 1.
Настройка Debug
Фильтры
Настраиваемые представления – это специальные фильтры, созданные либо автоматически системой Windows 2008, во время добавления в систему новых ролей сервера или приложений, таких как Directory Certificate Services (Службы сертификатов каталогов), сервер DHCP, либо администраторами вручную. Для администраторов одной из важнейших функций при работе с журналами событий является возможность создавать фильтры, позволяющие просматривать только интересующие события, чтобы можно было быстро диагностировать и устранять проблемы в системе. В качестве примера, рассмотрим папку Custom Views в навигационной панели утилиты просмотра событий. Если в этой папке щелкнуть правой кнопкой мыши по Administrative Events и затем выбрать Properties, то после нажатия Edit Filter, можно увидеть как информация из журнала событий преобразуется в набор отфильтрованных событий. Настраиваемые представления оснастки Administrative Events фиксируют все критические события, а события ошибок и предупреждений фиксируются для всех журналов событий (в отличие от предыдущих версий Windows). Таким образом, с помощью данного фильтра администратор может обращаться к единственному источнику для быстрой проверки потенциальных проблем, присутствующих в системе. Это средство может пригодиться при обработке событий, приходящих с серверов источников событий.
Созданные настраиваемые представления можно экпортировать в XML-файл для последующего распространения на другие машины.
Реагируем на события
Еще одной интересной функцией, о которой хотелось бы упомянуть, является возможность ответной реакции на события. Например, если у вас пользователь указал неверные учетные данные для аккаунта, имеющего административные привилегии, то на появление данного события в журнале необходимо отреагировать, послав уведомление администратору безопасности. Данная функция является долгожданным решением проблем с автоматизацией работы серверов, так как раньше требовалось устанавливать дополнительное программное обеспечение или писать сценарии для того чтобы заставить сервер автоматически реагировать на определенные события.
Для этого необходимо зайти в журнал событий Event Viewer, открыть раздел Windows Logs, затем Security, выбрать нужное событие, нажать правую кнопку мыши, и указать Attach Task To This Event… (прикрепить задачу к этому событию).
Рисунок 2.
Настройка ответной реакции на событие
Рисунок 3.
Свойства задач
Окно свойств задачи аналогично интерфейсу Scheduled Tasks, для заданий, выполняющихся по расписанию. Здесь можно указать учетную запись, под которой выполняется задача, при необходимости ее можно выполнять только когда пользователь работает на машине.
В закладке Triggers, вы можете добавлять или изменять условия выполнения задачи. В Actions вы можете добавлять различные действия. В закладке Conditions прописаны условия, при которых выполняется задача. В Settings можно прописать, какие действия должны быть выполнены при различных условиях. Например, что нужно делать в случае, если такая задача уже выполняется. Наконец, в закладке History вы можете наблюдать все события, которые вызвали выполнение задачи.
Немного о построении отчетов
Иногда возникает необходимость в построении отчетов о событиях информационной безопасности. Например, руководители различного уровня очень любят, когда им предоставляют распечатки отчетов, в которых представлена информация, о том сколько попыток несанкционированного проникновения было осуществлено, к примеру за месяц. Благодаря отчетам многие руководители ИТ-отделов выбивают бюджеты на развитие, так что не стоит пренебрегать отчетами.
Итак, нам нужно осуществить выборку событий из журнала. Делать мы это будем с помощью средств PowerShell.
Для начала построим отчет о неудачных входах в систему. Для этого нам необходимо выбрать все события с кодом 4625.
get-eventLog -LogName Security -Newest 100 | Where-Object < $_.EventID -
eq 4625 >
Еще один пример. Узнаем, сколько пользователей осуществляло вход в систему в нерабочее время. Код события Success Logon – 4624.
В завершении, узнаем, сколько удачных входов систему было осуществлено пользователем administrator.
get-eventLog -LogName Security | Where-Object
Здесь приведены только простейшие сценарии работы с журналом событий в Windows Server 2008. При необходимости на их основе можно построить более сложные запросы для релшения соответствующих задач информационной безопасности.
Заключение
В этой статье мы рассмотрели построение системы мониторинга событий информационной безопасности с помощью штатных средств Windoiws Server 2008. С помощью описанных инструментов можно существенно автоматизировать процесс мониторинга событий безопасности.
Использованная литература
1. Р. Моримото, М. Ноэл, О. Драуби Microsoft Windows Server 2008. Полное руководство.
Заметка о том, как провести аудит событий безопасности в операционной системе. Изучив эту заметку, вы ознакомитесь с подсистемой безопасности на примере Windows 10. После чего вы сможете самостоятельно проводить аудит событий безопасности операционных систем Windows.
Политика аудита
Для запуска введите его название в строке поиска.
В политике аудита находится набор параметров безопасности по категориям. В свойствах выбранной категории можно влачить фиксацию в журнале определенного события.
События входа и выхода
Например, в категории «аудит входа в систему» можно включить фиксацию успешных или неудачных попыток входа в систему.При анализе журнала вы сможете посмотреть пытались ли злоумышленники зайти в операционную систему. Если да, тогда, сколько было попыток и были ли успешные попытки.
Проверим, как это работает. Я включу оба типа событий.
Учет ведется для каждой учетной записи, в том числе при попытке войти на рабочую станцию, которая находится в контроллере домена.
Теперь я попробую ввести неверный пароль, пытаясь зайти под одним пользователем. А затем совершить удачную попытку входа под другим пользователем.Я ввел несколько раз неправильный пароль, пытаясь зайти под одной учетной записью, а затем зашел под своей учетной записью.
Для просмотра событий нужно открыть приложение просмотр событий.
Затем выбрать пункт меню журналы Windows –> Безопасность. В журнале будут отображены неудачные и удачные попытки входа в систему.
Кликнув на событие, вы можете просмотреть его свойства и подробности.
Существуют следующие типы входов операционную систему Windows.
События администрирования
Вернемся к приложению локальная политика безопасности. Рассмотрим аудит управления учетными записями.
Данный аудит фиксирует события, которые связаны с управлением учетными записями. Фиксируются изменения в учетных записях. Если вы добавите новую учетную запись пользователя, или удалите существующую, то в журнале будет запись о том кто (имя учетной записи) когда и какое действие с учетной записью (создал, удалил, изменил) произвел.
Для примера я включил оба типа событий.
Затем я изменил тип учетной записи – сделал пользователя администратором.
В журнале безопасности появилась соответствующая запись.
Если присмотреться, можно увидеть несколько записей. Это связано с тем, что когда я назначил пользователя администратором, то он стал членом групп, в которые входит администратор. На каждую группу создалась соответствующая запись.
Аудит изменения политики
Данный параметр фиксирует события связанные с изменением политик аудита. Разберемся на примере. Я включил оба типа событий.
После чего я добавил пользователя Local use в свойства прав архивация файлов и каталогов.
Теперь в журнале безопасности мы видим соответствующую запись об изменении прав пользователя.
Попробуйте выполнить какие-либо действия с политиками и отследить их в журнале безопасности операционной системы.
Аудит использования привилегий
Аудит использования привилегий фиксирует события связанные с применением пользователем назначенных ему привилегий.
Например, у пользователя есть привилегия на изменение системного времени. Включите тип события успех в аудите.
Измените системное время.
В журнале безопасности вы увидите соответствующую запись о том, что системное время изменено.
Аудит событий операционной системы
Для аудита событий происходящих с операционной системой (например, отключение элементов безопасности системы) предназначен параметр аудит системных событий.
Я включу аудит событий с типом успех. Затем очищу журнал аудита событий.
После этого действия журнал будет содержать одну запись – журнал аудита был очищен. В записи содержится имя пользователя, который выполнил очистку журнала.
Аудит доступа пользователя к объектам
Этот аудит фиксирует события, которые связаны с доступом к файлам, папкам, реестру, оборудованию и так далее. При этом можно настроить аудит на различные типы доступа к папкам и файлам, например чтение, изменение, печать.
Я включу аудит двух типов событий.
Этот вид аудита в операционной системе Windows доступен только для файловой системы NTFS. При этом аудит доступен, если включить его в самом объекте.
Для примера я создам текстовый фал. Для настройки нужно перейти в его свойства -> безопасность -> дополнительно -> аудит. Далее следует добавить субъект и разрешения.
Я установил тип успех на чтение и выполнение этого файла.
После применения аудита я открыл и прочитал файл. Об этом появилась соответствующая запись в журнале безопасности.
Управление журналом аудита
Если вы войдете в операционную систему под учетной записью обычного пользователя, то вы не сможете просмотреть журнал событий безопасности.
Что бы выдать права для работы с журналом пользователю необходимо войти под учетной записью администратора в локальную политику безопасности и добавить пользователя в список учетных записей «Управление аудитом и журналом безопасности».
При необходимости администратор может настроить вид журнала безопасности для определенного пользователя. Делается это с помощью меню фильтр текущего журнала.
На этом короткое руководство по аудиту событий безопасности в операционной системе Windows закончено.
Если у вас возникли вопросы – задавайте их в комментариях к данной заметке.
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.
Читайте также: