AUDITPOL – управление политиками аудита Windows.



Команда AUDUTPOL используется для управления политиками аудита в операционных системах Windows 7 и старше. Аудит - это процесс отслеживания действий пользователей и фиксации происходящих событий с записью в журнал безопасности операционной системы (ОС). В этот журнал записываются попытки входа в систему, сведения о выполнении определенных действий и результатах их выполнения, а также события, связанные с созданием, открытием, изменением и уничтожением определенных объектов ОС. Политики аудита используются для определения четких правил использования ресурсов, для выявления узких мест в системе безопасности, для контроля действий пользователей а также выявления атак на сеть и локальные ресурсы организации.

Для управления политиками аудита в графической среде пользователя применяется редактор локальной групповой политики ( gpedit.msc ). Для редактирования политик аудита используется раздел Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - , и в значительной степени - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - - Конфигурация расширенной политики аудита - Политика аудита системы – Объект локальной групповой политикию.

Управление политиками аудита в редакторе групповых политик Windows


По умолчанию, параметры политики аудита не заданы – имеют состояние ”Нет аудита” (или ”Не определено”).

Утилита командой строки auditpol.exe является стандартным средством управления политиками аудита в операционных системах Windows 7 и более поздних. Должна выполняться в контексте учетной записи администратора системы (”Запустить от имени Администратора”). Формат командной строки:

AuditPol команда [< подкоманда > < параметры >]

При каждом запуске можно указывать только одну команду.

Команды:

/? - Контекстная справка.

/get - Отображение текущей политики аудита.

/set - Установка политики аудита.

/list - Отображение элементов политики, которые можно выбрать.

/backup - Сохранение политики аудита в файл.

/restore - Восстановление политики аудита из файла.

/clear - Очистка политики аудита.

/remove - Удаление политики аудита для каждого из пользователей учетной записи.

/resourceSACL - Настройка системных списков управления доступом для глобальных ресурсов. System Access-Control List (SACL) - системный список управления доступом . SACL управляется системой и используется для обеспечения аудита попыток доступа к объектам файловой системы, определяя условия при которых генерируется события безопасности. В операционных системах Windows Vista и более поздних, SACL используется еще и для реализации механизма защиты системы с использованием уровней целостности ( Integrity Level, IL).

Для получения сведений о соответствующей команде используется синтаксис:

AuditPol команда /?

Примеры использования утилиты Auditpol.exe



Порядок использования утилиты auditpol.exe практически ничем не отличается для различных версий Windows, начиная с Windows 7. Рассматриваемые ниже примеры приведены для случая применения программы auditpol.exe в среде ОС Windows 10. В редких случаях, некоторые параметры политики аудита, рассматриваемые в примерах, могут отсутствовать при выполнении команды в среде ОС Windows 7-8.1. Для работы с утилитой auditpol.exe требуется повышение привилегий пользователя через ”Запуск от имени администратора”

Сброс в исходное состояние политик аудита.

При использовании параметра командной строки /clear выполняется удаление политики аудита по пользователям для всех пользователей, сброс политики аудита системы для всех подкатегорий и отключение всех параметров аудита.

Формат командной строки:

AuditPol /clear [/y]

/y - Запрос на подтверждение очистки всех политик аудита не отображается.

auditpol /clear /y - выполнить сброс политик аудита без отображения запроса на подтверждение данной операции.

Сохранение и восстановление политик аудита.

Для сохранения и восстановления текущих политик аудита используются команды:

AuditPol /backup /file:имя_файла - сохранить параметры политики аудита системы, и параметры аудита по пользователям в файл с указанным именем. Выходные данные будут записаны в формате CSV.

AuditPol /restore /file:имя_файла - восстановить параметры политики аудита системы, и параметры аудита по пользователям из файла с указанным именем.

Примеры:

auditpol /backup /file:c:\auditpolicy.csv - сохранить текущие параметры политики аудита в файл c:\auditpolicy.csv. О результате выполнения команды на экране консоли отображается соответствующее сообщение (ошибка или успешное выполнение).

auditpol /restore /file:c:\auditpolicy.csv - восстановить текущие параметры политики аудита из файла c:\auditpolicy.csv. О результате выполнения команды на экране консоли отображается соответствующее сообщение (ошибка или успешное выполнение).





Получение справочно-информационных данных для управления политиками аудита.

Для вывода списка категорий или подкатегорий политики аудита, либо списка пользователей, для которых определена политика аудита по пользователям, используется команда /list. Подсказку по использованию можно отобразить при выполнении команды:

auditpol.exe /list /?

Формат командной строки при использовании команды /list

AuditPol /list [/user|/category|/subcategory[:< имя_категории >|< {GUID} >|*] [/v] [/r]

Параметры командной строки:

/? -Контекстная справка.

/user - Вывод списка всех пользователей, для которых определена политика аудита по пользователям. При использовании с параметром /v также отображается SID пользователя.

/category - Отображение распознанных системой имен категорий. Если используется с параметром /v, также отображается GUID.

/subcategory - Отображение распознанных системой имен подкатегорий для указанной категории. Если используется параметр /v, также отображаются GUID подкатегорий.

Примеры использования:

auditpol /list /user - отобразить список пользователей, для которых определена политика аудита.

auditpol /list /category - отобразить список имен категорий, допустимых в данной системе. Пример отображаемой информации для русскоязычной Windows 10:

Категория или подкатегория:

Вход учетной записи

Вход/выход

Доступ к объектам

Доступ к службе каталогов (DS)

Изменение политики

Использование прав

Подробное отслеживание

Система

Учетные записи

auditpol /list /category /v - то же, что и в предыдущем примере, но с отображением глобальных уникальных идентификаторов (GUID) для каждой категории. В командах утилиты auditpol.exe можно использовать как наименования категорий, так и значения их идентификаторов GUID.

auditpol /list /subcategory:Вход/Выход - отобразить список подкатегорий для категории Вход/Выход. Пример отображаемой информации для Windows 10:

Категория или подкатегория

Вход/выход

Вход в систему

Выход из системы

Блокировка учетной записи

Основной режим IPsec

Быстрый режим IPsec

Расширенный режим IPsec

Специальный вход

Другие события входа и выхода

Сервер сетевых политик

Заявки пользователей или устройств на доступ

Членство в группах

auditpol /list /subcategory:”Доступ к объектам”,”Доступ к службе каталогов (DS)” - то же, что и в предыдущем примере, но указано более одной подкатегории через запятую. Если в имени категории имеется хотя бы один пробел, оно заключается в двойные кавычки.

auditpol /list /subcategory:Вход/Выход,{6997984A-797A-11D9-BED3-505054503030} - то же, что и в предыдущем примере, но вместо имени категории используется соответствующий GUID.

auditpol /list /subcategory:Вход/Выход,{6997984A-797A-11D9-BED3-505054503030} /v - то же, что и в предыдущем примере, но кроме имен подкатегорий отображаются их идентификаторы GUID.

Отображение параметров текущей политики аудита.



Формат командной строки:

AuditPol /get [/user[:< имя_пользователя >|< {SID} >]] [/category:*|< имя >|< {GUID} >[,:< имя >|< {GUID} >...]] [/subcategory:< имя >|< {GUID} >[,:< имя >|< {GUID} > ... ]] [/option:< имя_параметра >] [/sd] [/r]

Параметры командной строки:

/? - Контекстная справка.

/user - Субъект безопасности, для которого опрашивается политика аудита по пользователям. Необходимо указать либо параметр /category, либо /subcategory. Пользователь может быть задан с помощью SID или по имени. Если не задана учетная запись пользователя, опрашивается политика аудита системы.

/category - Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Чтобы установить опрос всех категорий аудита, используйте звездочку ("*").

/subcategory - Одна или несколько подкатегорий аудита, заданные с помощью GUID или по имени.

/sd - Извлечение дескриптора безопасности, используемого для делегирования доступа к политике аудита.

/option - Извлечение существующей политики для CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects или AuditBaseDirectories.

/r - Отображение результатов в формате отчета (CSV) .

Примеры использования:

auditpol /get /category:* - отобразить параметры политики аудита для всех категорий и пользователей. Обычно, данная команда используется для получения списка установленных и настроенных политик аудита, поэтому системные администраторы часто используют ее в цепочке с командой поиска текста find: auditpol /get /category:* | find /v "Без аудита" - отобразить настроенные категории политик аудита, т.е. не содержащие (find /v) строку Без аудита.

auditpol /get /category:* | find "Сбой" - отобразить список категорий, настроенных на аудит отказов в доступе. Строка ”Сбой” соответствует значению ”Отказ” в редакторе групповых политик gpedit.msc

auditpol /get /category:* | find "Успех" - отобразить список категорий, настроенных на аудит успехов.

auditpol /get /user:win10\user /Category:"Система","Вход/Выход" - отобразить состояние политики аудита для пользователя user домена win10 для категорий Система и Вход/Выход

auditpol /get /Category:"Система" - отобразить состояние системной политики аудита для категории Система. Пример отображаемой информации:

Политика аудита системы
Категория или подкатегория
Система
Расширение системы безопасности
Целостность системы
Драйвер IPSEC
Другие системные события
Изменение состояния безопасности

Параметр

Без аудита
Успех и сбой
Без аудита
Успех и сбой
Успех

auditpol /get /Subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /r - отобразить параметры политики аудита для подкатегории с указанным GUID (соответствует категории Система, подкатегории Целостность системы. Результат отображается в формате CSV (значения разделенные запятой). Если параметр /r не задан, то результат будет представлен в виде таблицы, как в предыдущем примере.

auditpol /get /option:CrashOnAuditFail - отобразить значение параметра политики аудита CrashOnAuditFail. Данный параметр используется для гарантированного прекращения обслуживания пользователей при возникновении события переполнения журналов аудита.

auditpol /get /user:{S-1-5-21-397123417-1234567} /Category:"Система" – вместо имени пользователя используется соответствующий идентификатор GUID.

auditpol /get /sd - отобразить дескриптор безопасности политики аудита. Пример отображаемой информации:

Дескриптор безопасности политики аудита: D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY)





Изменение параметров текущей политики аудита.



Формат командной строки:

AuditPol /set [/user[:< имя_пользователя >|< {SID} >][/include][/exclude]] [/category:< имя >|< {GUID}>[,:< имя >|< {GUID} >...]] [/success:< enable >|< disable >][/failure:< enable >|< disable >] [/subcategory:< имя >|< {GUID} >[,:< имя >|< {GUID} >...]] [/success:< enable >|< disable >][/failure:< enable >|< disable >] [/option:< имя_параметра > /value:< enable >|< disable >]

Параметры командной строки:

/? - Контекстная справка.

/user - Субъект безопасности, для которого устанавливается политика аудита по пользователям, заданная параметром category или /subcategory. Необходимо задать либо категорию, либо подкатегорию с помощью SID или по имени.

/include - Указывается вместе с параметром /user, означает, что политикой для данного пользователя создается аудит, даже если он не указан политикой аудита системы. Этот параметр используется по умолчанию и применяется автоматически, если ни параметр /include, ни параметр /exclude не указаны явно.

/exclude - Указывается вместе с параметром /user, означает, что политикой для данного пользователя запрещается аудит, независимо от параметров политики аудита системы. Этот параметр не учитывается для членов локальной группы "Администраторы".

/category - Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Если пользователь не указан, устанавливается политика системы.

/subcategory - Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Если пользователь не указан, устанавливается политика системы.

/success - Установка успешного аудита. Этот параметр используется по умолчанию и применяется автоматически, если ни параметр /success, ни /failure не указаны явно. Этот параметр следует использовать с параметром, разрешающим или запрещающим его.

/failure - Установка неудачного аудита. Этот параметр следует использовать с параметром, разрешающим или запрещающим его.

/option - Установка политики аудита для CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects или AuditBaseDirectories.

/sd - Установка дескриптора безопасности, используемого для делегирования доступа к политике аудита. Дескриптор безопасности следует указывать с помощью SDDL. Дескриптору безопасности должен быть назначен список DACL.

Примеры использования:

auditpol /set /subcategory:"Целостность системы" /failure:disable - установить системную политику аудита для подкатегории Целостность системы в состояние ”Успех”.

auditpol /set /subcategory:"Целостность системы" - аналог предыдущей команды, но используется значение по умолчанию (”Успех”)

auditpol /set /subcategory:"Целостность системы" /success:enable - также аналог предыдущих команд, но с использованием параметра success

auditpol /set /subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /failure:disable - аналог предыдущих команд, но подкатегория задана идентификатором GUID

Для просмотра установленного значения политики можно воспользоваться командой auditpol /get /subcategory:"Целостность системы"

auditpol /set /user:win10\user /subcategory:"Целостность системы" /success:enable - аналогично предыдущим командам, но политика определяется для пользователя user домена или компьютера win10

auditpol /set /option:CrashOnAuditFail /value:enable - разрешить режим отказа обслуживания пользователей при переполнении журнала аудита. Если этот параметр задан, и произошло переполнение журнала безопасности, то система аварийно завершится стоп-ошибкой (”Синий экран смерти Windows”)

STOP 0xC0000244 when security log full

STOP 0xC0000244 — когда журнал безопасности полон

auditpol /set /sd:D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY) - изменить дескриптор безопасности политики аудита.





Аудит доступа к глобальным объектам.



Формат командной строки:

AuditPol /resourceSACL [/set /type:< ресурс > [/success] [/failure] /user:< пользователь > [/access:< флаги_доступа >] [/condition:< выражение >]] [/remove /type:< ресурс > user:< пользователь > /type:< ресурс >]] [/clear [/type:< ресурс >]] [/view [/user:< пользователь >] [/type:< ресурс >]]

Параметры командной строки:

Команды:

/? - Выводит справку по команде.

/set - Добавляет новую или обновляет существующую запись в системном списке управления доступом для указанного типа ресурса.

/remove - Удаляет все записи для данного пользователя из списка аудита доступа к глобальным объектам, указанного типом ресурса.

/clear - Удаляет все записи из списка аудита доступа к глобальным объектам для указанного типа ресурса.

/view - Отображает список записей аудита доступа к глобальным объектам для указанного типа ресурса и пользователя. Пользователя указывать не обязательно.

Аргументы команд:

/type - Ресурс, для которого выполняется настройка аудита доступа к объектам. Поддерживаемые значения аргумента: File и Key (с учетом регистра).

   File — каталоги и файлы.
   Key — разделы реестра.

/success - Задает аудит успехов.

/failure - Задает аудит отказов.

/user - Задает пользователя в одной из следующих форм:
— имя_домена\учетная_запись (например, DOM\Administrators)
— автономный_сервер\группа
— учетная запись (см. API-интерфейс LookupAccountName)
— {S-1-x-x-x-x}. Здесь x имеет десятичный формат, а весь
ИД безопасности должен быть заключен в фигурные скобки.
Например: {S-1-5-21-5624481-130208933-164394174-1001}

Предупреждение. Если используется ИД безопасности, проверка существования учетной записи не выполняется.

/access - Маска разрешения в одной из двух форм:

  • Последовательность простых прав:

      права универсального доступа:

    GA - полный универсальный доступ
    GR - универсальный доступ на чтение
    GW - универсальный доступ на запись
    GX - универсальный доступ на выполнение

      права доступа к файлам:

    FA - полный доступ к файлу
    FR - доступ к файлу на чтение
    FW - доступ к файлу на запись
    FX - доступ к файлу на выполнение

    Права доступа к разделам реестра:

    KA - полный доступ к разделу
    KR - доступ к разделу на чтение
    KW - доступ к разделу на запись
    KX - доступ к разделу на выполнение

    Например: "/access:FRFW" — включение событий аудита для операция чтения и записи.

  • Шестнадцатеричное значение, представляющее маску доступа (например, 0x1200a9). Это полезно при использовании битовых масок ресурсов, не входящих в стандарт SDDL. Если значение не задано, используется полный доступ.

    /condition - Добавление выражения на основе атрибутов, такого как:
    документ имеет конфиденциальность HBI ("Высокая") - "(@Resource.Sensitivity == \"Высокая\")"

    Примеры:

    auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\myuser /success - аудит успехов пользователя myuser домена MYDOMAIN при обращении к реестру системы.

    auditpol /resourceSACL /remove /type:File /user:{S-1-5-21-56248481-1302087933-1644394174-1001} - аудит успехов пользователя с указанным SID при обращении к файлам.

    auditpol /resourceSACL /set /type:File /user:everyone /success /failure /access:FRFW condition:"(@Resource.Sensitivity == \"Высокая\")" - аудит успехов и отказов всех пользователей при обращению к файлам с высокой конфиденциальностью на чтение и запись.

    auditpol /resourceSACL /type:File /clear - удалить все записи из списка аудита доступа к глобальным объектам для файлов.

    auditpol /resourceSACL /type:Key /view - отобразить все записи аудита системного списка управления доступом для реестра.

    auditpol /resourceSACL /type:Key /view /user:win10\user - отобразить записи аудита обращений к реестру пользователя user домена win10

    Пример отображаемой информации:

    Запись:   1
    Тип ресурса:   File
    Пользователь:   win10\user
    Флаги:   Успешно
    Условие:   (@RESOURCE.Sensitivity == "Высокая")
    Случаи доступа:
    FILE_ALL_ACCESS



    Весь список команд CMD Windows






  • Рейтинг@Mail.ru