Что такое успешный аудит или сбой аудита в средстве просмотра событий

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Когда дело доходит до просмотра событий, есть два типа результатов, которые вы можете получить от аудита: успех или неудача. Но что каждый из них означает? Вот краткое объяснение каждого из них.



Аудит успеха

Успех аудита означает, что проверяемое действие было успешно завершено. Это может быть что-то вроде входа пользователя в систему или запущенного процесса. По сути, все, что вы настроили в Event Viewer для отслеживания и составления отчетов.



Ошибка аудита

Сбой аудита, с другой стороны, означает, что проверяемое действие не было успешно завершено. Это может быть вызвано рядом причин, таких как ввод неправильного пароля или отсутствие у пользователя необходимых разрешений для выполнения действия. Опять же, все, что вы настроили для отслеживания событий и создания отчетов, может привести к сбою аудита.



Итак, у вас есть краткое объяснение успеха и неудачи аудита в средстве просмотра событий. Как всегда, если у вас есть какие-либо вопросы, не стесняйтесь обращаться к нашей команде ИТ-экспертов.



Чтобы помочь в устранении неполадок, средство просмотра событий, встроенное в операционную систему Windows, отображает журналы сообщений системы и приложений, которые включают ошибки, предупреждения и информацию о конкретных событиях, которые администратор может проанализировать для принятия соответствующих мер. В этом посте мы обсуждаем Успех аудита или сбой аудита в средстве просмотра событий .

Что такое успешный аудит или сбой аудита в средстве просмотра событий



Что такое успешный аудит или сбой аудита в средстве просмотра событий

В средстве просмотра событий Аудит успеха это событие, которое регистрирует успешную проверенную попытку безопасного доступа, в то время как Ошибка аудита — это событие, которое регистрирует неудачную попытку подтвержденного безопасного доступа. Мы обсудим эту тему в следующих подзаголовках:

  1. Политики аудита
  2. Включить политики аудита
  3. Используйте средство просмотра событий, чтобы найти источник неудачных или успешных попыток
  4. Альтернативы использованию средства просмотра событий

Давайте посмотрим на это подробно.

Политики аудита

Политика аудита определяет типы событий, которые записываются в журналы безопасности, и эти политики генерируют события, которые могут быть успешными или неудачными. Все политики аудита будут генерировать Удачи события ; однако лишь немногие из них будут генерировать События отказа . Вы можете настроить два типа политик аудита, а именно:

  • Базовая политика аудита имеет 9 категорий политики аудита и 50 подкатегорий политики аудита, которые можно включать или отключать по мере необходимости. Ниже приведен список из 9 категорий политик аудита.
    • Аудит событий входа в учетную запись
    • Аудит событий входа в систему
    • Аудит управления аккаунтом
    • Аудит доступа к службе каталогов
    • Аудит доступа к объектам
    • Изменение политики аудита
    • Аудит использования привилегий
    • Отслеживание процесса аудита
    • Аудит системных событий. Этот параметр политики определяет, следует ли проводить аудит, когда пользователь перезагружает или выключает компьютер, или когда происходит событие, влияющее либо на безопасность системы, либо на журнал безопасности. Дополнительные сведения и связанные события входа см. в документации Microsoft по адресу Learn.microsoft.com/Basic-Audit-System-Events .
  • Расширенная политика аудита который имеет 53 категории, поэтому рекомендуется, поскольку вы можете определить более детализированную политику аудита и регистрировать только соответствующие события, что особенно полезно при создании большого количества журналов.

Ошибки аудита обычно возникают при сбое запроса на вход, хотя они также могут быть вызваны изменениями в учетных записях, объектах, политиках, привилегиях и других системных событиях. Два наиболее частых события:

  • Идентификатор события 4771: сбой предварительной проверки подлинности Kerberos . Это событие генерируется только на контроллерах домена и не генерируется, если Не требовать предварительной аутентификации Kerberos опция установлена ​​для учетной записи. Дополнительные сведения об этом событии и о том, как решить эту проблему, см. документация Майкрософт .
  • Идентификатор события 4625: не удалось войти в учетную запись . Это событие генерируется, когда попытка входа в учетную запись не удалась, а пользователь уже заблокирован. Дополнительные сведения об этом событии и о том, как решить эту проблему, см. документация Майкрософт .

Читать : Как проверить журнал выключения и запуска в Windows

Включить политики аудита

Включить политики аудита

Вы можете включить политики аудита на клиентских или серверных компьютерах с помощью редактора локальной групповой политики или консоли управления групповыми политиками или Редактор локальной политики безопасности . На сервере Windows в вашем домене создайте новый объект групповой политики или отредактируйте существующий объект групповой политики.

На клиентском или серверном компьютере в редакторе групповой политики перейдите по следующему пути:

|_+_|

На клиентском или серверном компьютере в локальной политике безопасности перейдите по следующему пути:

|_+_|
  • В разделе «Политики аудита» на правой панели дважды щелкните политику, свойства которой вы хотите изменить.
  • На панели свойств вы можете включить политику для Удачи или Отказ согласно вашему требованию.

Читать : Как сбросить все настройки локальной групповой политики по умолчанию в Windows

Используйте средство просмотра событий, чтобы найти источник неудачных или успешных попыток

Используйте средство просмотра событий, чтобы найти источник неудачных или успешных событий.

Администраторы и обычные пользователи могут открывать средство просмотра событий на локальном или удаленном компьютере с соответствующими разрешениями. Средство просмотра событий теперь будет регистрировать событие каждый раз, когда происходит сбой или успех, будь то на клиентском компьютере или в домене на сервере. Идентификатор события, который запускается при регистрации неудачного или успешного события, отличается (см. ниже). Политики аудита раздел выше). Вы можете пойти в Просмотрщик событий > Окна журнала > Безопасность . На панели в центре перечислены все события, настроенные для аудита. Вам придется просматривать зарегистрированные события, чтобы найти неудачные или успешные попытки. Как только вы найдете их, вы можете щелкнуть правой кнопкой мыши по событию и выбрать Свойства события Подробнее.

Читать : используйте средство просмотра событий для проверки несанкционированного использования компьютера с Windows.

Альтернативы использованию средства просмотра событий

В качестве альтернативы средству просмотра событий существует несколько сторонних программ Event Log Manager, которые можно использовать для сбора и корреляции данных о событиях из различных источников, включая облачные службы. Решение SIEM — лучший вариант, если вам нужно собирать и анализировать данные с брандмауэров, систем предотвращения вторжений (IPS), устройств, приложений, коммутаторов, маршрутизаторов, серверов и т. д.

cutepdf windows 10

Надеюсь, вы найдете этот пост достаточно информативным!

Теперь прочитайте : Как включить или отключить безопасное ведение журнала событий в Windows

Почему важно проверять как успешные, так и неудачные попытки доступа?

Крайне важно проводить аудит событий входа в систему, независимо от того, были ли они успешными или неудачными, для обнаружения попыток вторжения, поскольку аудит входа пользователей — единственный способ обнаружить все попытки несанкционированного входа в домен. События выхода из системы не отслеживаются на контроллерах домена. Также не менее важно отслеживать неудачные попытки доступа к файлам, поскольку запись аудита создается каждый раз, когда какой-либо пользователь безуспешно пытается получить доступ к объекту файловой системы, который имеет соответствующий SACL. Эти события необходимы для отслеживания активности файловых объектов, которые являются конфиденциальными или ценными и требуют дополнительного мониторинга.

Читать : усилить политику паролей для входа в Windows и политику блокировки учетных записей.

Как включить журналы ошибок аудита в Active Directory?

Чтобы включить журналы ошибок аудита в Active Directory, просто щелкните правой кнопкой мыши объект Active Directory, который вы хотите проверить, и выберите Характеристики . Выбирать Безопасность вкладку, а затем выберите Передовой . Выбирать Аудит вкладку, а затем выберите Добавлять . Чтобы просмотреть журналы аудита в Active Directory, щелкните Начинать > Безопасность системы > Инструменты управления > Просмотрщик событий . В Active Directory аудит — это процесс сбора и анализа объектов AD и данных групповой политики для упреждающего повышения безопасности, быстрого обнаружения угроз и реагирования на них, а также обеспечения бесперебойной работы ИТ-операций.

Категория
Журналы Событий
Рекомендуем
Сделайте экран входа в Windows 10 сплошным цветом
Сделайте экран входа в Windows 10 сплошным цветом
Окна
Что делать, если ваш аккаунт Google взломан?
Что делать, если ваш аккаунт Google взломан?
Общий
Как показать диаграммы со скрытыми ячейками данных в Excel
Как показать диаграммы со скрытыми ячейками данных в Excel
Excel
Как скопировать или клонировать загрузочный USB-накопитель в Windows 10
Как скопировать или клонировать загрузочный USB-накопитель в Windows 10
Загрузки
Популярные посты
О нас
Prankmike содержит советы, руководства, инструкции по Windows 10, функции и бесплатное ПО.
Категории
Самые просматриваемые
Copyright © 2024Все права защищены | prankmike.com | Политика Конфиденциальности