AUDITPOL – управление политиками аудита Windows.Команда AUDUTPOL используется для управления политиками аудита в операционных системах Windows 7 и старше. Аудит - это процесс отслеживания действий пользователей и фиксации происходящих событий с записью в журнал безопасности операционной системы (ОС). В этот журнал записываются попытки входа в систему, сведения о выполнении определенных действий и результатах их выполнения, а также события, связанные с созданием, открытием, изменением и уничтожением определенных объектов ОС. Политики аудита используются для определения четких правил использования ресурсов, для выявления узких мест в системе безопасности, для контроля действий пользователей а также выявления атак на сеть и локальные ресурсы организации. Для управления политиками аудита в графической среде пользователя применяется редактор локальной групповой политики ( gpedit.msc ). Для редактирования политик аудита используется раздел Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - , и в значительной степени - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - - Конфигурация расширенной политики аудита - Политика аудита системы – Объект локальной групповой политикию. По умолчанию, параметры политики аудита не заданы – имеют состояние ”Нет аудита” (или ”Не определено”). Утилита командой строки auditpol.exe является стандартным средством управления политиками аудита в операционных системах Windows 7 и более поздних. Должна выполняться в контексте учетной записи администратора системы (”Запустить от имени Администратора”). Формат командной строки: AuditPol команда [< подкоманда > < параметры >] При каждом запуске можно указывать только одну команду. Команды: /? - Контекстная справка. /get - Отображение текущей политики аудита. /set - Установка политики аудита. /list - Отображение элементов политики, которые можно выбрать. /backup - Сохранение политики аудита в файл. /restore - Восстановление политики аудита из файла. /clear - Очистка политики аудита. /remove - Удаление политики аудита для каждого из пользователей учетной записи. /resourceSACL - Настройка системных списков управления доступом для глобальных ресурсов. System Access-Control List (SACL) - системный список управления доступом . SACL управляется системой и используется для обеспечения аудита попыток доступа к объектам файловой системы, определяя условия при которых генерируется события безопасности. В операционных системах Windows Vista и более поздних, SACL используется еще и для реализации механизма защиты системы с использованием уровней целостности ( Integrity Level, IL). Для получения сведений о соответствующей команде используется синтаксис: AuditPol команда /? Примеры использования утилиты Auditpol.exeПорядок использования утилиты auditpol.exe практически ничем не отличается для различных версий Windows, начиная с Windows 7. Рассматриваемые ниже примеры приведены для случая применения программы auditpol.exe в среде ОС Windows 10. В редких случаях, некоторые параметры политики аудита, рассматриваемые в примерах, могут отсутствовать при выполнении команды в среде ОС Windows 7-8.1. Для работы с утилитой auditpol.exe требуется повышение привилегий пользователя через ”Запуск от имени администратора” Сброс в исходное состояние политик аудита.При использовании параметра командной строки /clear выполняется удаление политики аудита по пользователям для всех пользователей, сброс политики аудита системы для всех подкатегорий и отключение всех параметров аудита.Формат командной строки: AuditPol /clear [/y] /y - Запрос на подтверждение очистки всех политик аудита не отображается. auditpol /clear /y - выполнить сброс политик аудита без отображения запроса на подтверждение данной операции. Сохранение и восстановление политик аудита.Для сохранения и восстановления текущих политик аудита используются команды:AuditPol /backup /file:имя_файла - сохранить параметры политики аудита системы, и параметры аудита по пользователям в файл с указанным именем. Выходные данные будут записаны в формате CSV. AuditPol /restore /file:имя_файла - восстановить параметры политики аудита системы, и параметры аудита по пользователям из файла с указанным именем. Примеры: auditpol /backup /file:c:\auditpolicy.csv - сохранить текущие параметры политики аудита в файл c:\auditpolicy.csv. О результате выполнения команды на экране консоли отображается соответствующее сообщение (ошибка или успешное выполнение). auditpol /restore /file:c:\auditpolicy.csv - восстановить текущие параметры политики аудита из файла c:\auditpolicy.csv. О результате выполнения команды на экране консоли отображается соответствующее сообщение (ошибка или успешное выполнение). Получение справочно-информационных данных для управления политиками аудита.Для вывода списка категорий или подкатегорий политики аудита, либо списка пользователей, для которых определена политика аудита по пользователям, используется команда /list. Подсказку по использованию можно отобразить при выполнении команды:auditpol.exe /list /? Формат командной строки при использовании команды /list AuditPol /list [/user|/category|/subcategory[:< имя_категории >|< {GUID} >|*] [/v] [/r] Параметры командной строки: /? -Контекстная справка. /user - Вывод списка всех пользователей, для которых определена политика аудита по пользователям. При использовании с параметром /v также отображается SID пользователя. /category - Отображение распознанных системой имен категорий. Если используется с параметром /v, также отображается GUID. /subcategory - Отображение распознанных системой имен подкатегорий для указанной категории. Если используется параметр /v, также отображаются GUID подкатегорий. Примеры использования: auditpol /list /user - отобразить список пользователей, для которых определена политика аудита. auditpol /list /category - отобразить список имен категорий, допустимых в данной системе. Пример отображаемой информации для русскоязычной Windows 10: Категория или подкатегория: Вход учетной записи Вход/выход Доступ к объектам Доступ к службе каталогов (DS) Изменение политики Использование прав Подробное отслеживание Система Учетные записи auditpol /list /category /v - то же, что и в предыдущем примере, но с отображением глобальных уникальных идентификаторов (GUID) для каждой категории. В командах утилиты auditpol.exe можно использовать как наименования категорий, так и значения их идентификаторов GUID. auditpol /list /subcategory:Вход/Выход - отобразить список подкатегорий для категории Вход/Выход. Пример отображаемой информации для Windows 10: Категория или подкатегория Вход/выход Вход в систему Выход из системы Блокировка учетной записи Основной режим IPsec Быстрый режим IPsec Расширенный режим IPsec Специальный вход Другие события входа и выхода Сервер сетевых политик Заявки пользователей или устройств на доступ Членство в группах auditpol /list /subcategory:”Доступ к объектам”,”Доступ к службе каталогов (DS)” - то же, что и в предыдущем примере, но указано более одной подкатегории через запятую. Если в имени категории имеется хотя бы один пробел, оно заключается в двойные кавычки. auditpol /list /subcategory:Вход/Выход,{6997984A-797A-11D9-BED3-505054503030} - то же, что и в предыдущем примере, но вместо имени категории используется соответствующий GUID. auditpol /list /subcategory:Вход/Выход,{6997984A-797A-11D9-BED3-505054503030} /v - то же, что и в предыдущем примере, но кроме имен подкатегорий отображаются их идентификаторы GUID. Отображение параметров текущей политики аудита.Формат командной строки: AuditPol /get [/user[:< имя_пользователя >|< {SID} >]] [/category:*|< имя >|< {GUID} >[,:< имя >|< {GUID} >...]] [/subcategory:< имя >|< {GUID} >[,:< имя >|< {GUID} > ... ]] [/option:< имя_параметра >] [/sd] [/r] Параметры командной строки: /? - Контекстная справка. /user - Субъект безопасности, для которого опрашивается политика аудита по пользователям. Необходимо указать либо параметр /category, либо /subcategory. Пользователь может быть задан с помощью SID или по имени. Если не задана учетная запись пользователя, опрашивается политика аудита системы. /category - Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Чтобы установить опрос всех категорий аудита, используйте звездочку ("*"). /subcategory - Одна или несколько подкатегорий аудита, заданные с помощью GUID или по имени. /sd - Извлечение дескриптора безопасности, используемого для делегирования доступа к политике аудита. /option - Извлечение существующей политики для CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects или AuditBaseDirectories. /r - Отображение результатов в формате отчета (CSV) . Примеры использования: auditpol /get /category:* - отобразить параметры политики аудита для всех категорий и пользователей. Обычно, данная команда используется для получения списка установленных и настроенных политик аудита, поэтому системные администраторы часто используют ее в цепочке с командой поиска текста find: auditpol /get /category:* | find /v "Без аудита" - отобразить настроенные категории политик аудита, т.е. не содержащие (find /v) строку Без аудита. auditpol /get /category:* | find "Сбой" - отобразить список категорий, настроенных на аудит отказов в доступе. Строка ”Сбой” соответствует значению ”Отказ” в редакторе групповых политик gpedit.msc auditpol /get /category:* | find "Успех" - отобразить список категорий, настроенных на аудит успехов. auditpol /get /user:win10\user /Category:"Система","Вход/Выход" - отобразить состояние политики аудита для пользователя user домена win10 для категорий Система и Вход/Выход auditpol /get /Category:"Система" - отобразить состояние системной политики аудита для категории Система. Пример отображаемой информации:
auditpol /get /option:CrashOnAuditFail - отобразить значение параметра политики аудита CrashOnAuditFail. Данный параметр используется для гарантированного прекращения обслуживания пользователей при возникновении события переполнения журналов аудита. auditpol /get /user:{S-1-5-21-397123417-1234567} /Category:"Система" – вместо имени пользователя используется соответствующий идентификатор GUID. auditpol /get /sd - отобразить дескриптор безопасности политики аудита. Пример отображаемой информации: Дескриптор безопасности политики аудита: D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY) Изменение параметров текущей политики аудита.Формат командной строки: AuditPol /set [/user[:< имя_пользователя >|< {SID} >][/include][/exclude]] [/category:< имя >|< {GUID}>[,:< имя >|< {GUID} >...]] [/success:< enable >|< disable >][/failure:< enable >|< disable >] [/subcategory:< имя >|< {GUID} >[,:< имя >|< {GUID} >...]] [/success:< enable >|< disable >][/failure:< enable >|< disable >] [/option:< имя_параметра > /value:< enable >|< disable >] Параметры командной строки: /? - Контекстная справка. /user - Субъект безопасности, для которого устанавливается политика аудита по пользователям, заданная параметром category или /subcategory. Необходимо задать либо категорию, либо подкатегорию с помощью SID или по имени. /include - Указывается вместе с параметром /user, означает, что политикой для данного пользователя создается аудит, даже если он не указан политикой аудита системы. Этот параметр используется по умолчанию и применяется автоматически, если ни параметр /include, ни параметр /exclude не указаны явно. /exclude - Указывается вместе с параметром /user, означает, что политикой для данного пользователя запрещается аудит, независимо от параметров политики аудита системы. Этот параметр не учитывается для членов локальной группы "Администраторы". /category - Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Если пользователь не указан, устанавливается политика системы. /subcategory - Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Если пользователь не указан, устанавливается политика системы. /success - Установка успешного аудита. Этот параметр используется по умолчанию и применяется автоматически, если ни параметр /success, ни /failure не указаны явно. Этот параметр следует использовать с параметром, разрешающим или запрещающим его. /failure - Установка неудачного аудита. Этот параметр следует использовать с параметром, разрешающим или запрещающим его. /option - Установка политики аудита для CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects или AuditBaseDirectories. /sd - Установка дескриптора безопасности, используемого для делегирования доступа к политике аудита. Дескриптор безопасности следует указывать с помощью SDDL. Дескриптору безопасности должен быть назначен список DACL. Примеры использования: auditpol /set /subcategory:"Целостность системы" /failure:disable - установить системную политику аудита для подкатегории Целостность системы в состояние ”Успех”. auditpol /set /subcategory:"Целостность системы" - аналог предыдущей команды, но используется значение по умолчанию (”Успех”) auditpol /set /subcategory:"Целостность системы" /success:enable - также аналог предыдущих команд, но с использованием параметра success auditpol /set /subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /failure:disable - аналог предыдущих команд, но подкатегория задана идентификатором GUID Для просмотра установленного значения политики можно воспользоваться командой auditpol /get /subcategory:"Целостность системы" auditpol /set /user:win10\user /subcategory:"Целостность системы" /success:enable - аналогично предыдущим командам, но политика определяется для пользователя user домена или компьютера win10 auditpol /set /option:CrashOnAuditFail /value:enable - разрешить режим отказа обслуживания пользователей при переполнении журнала аудита. Если этот параметр задан, и произошло переполнение журнала безопасности, то система аварийно завершится стоп-ошибкой (”Синий экран смерти Windows”) STOP 0xC0000244 when security log full STOP 0xC0000244 — когда журнал безопасности полон auditpol /set /sd:D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY) - изменить дескриптор безопасности политики аудита. Аудит доступа к глобальным объектам.Формат командной строки: AuditPol /resourceSACL [/set /type:< ресурс > [/success] [/failure] /user:< пользователь > [/access:< флаги_доступа >] [/condition:< выражение >]] [/remove /type:< ресурс > user:< пользователь > /type:< ресурс >]] [/clear [/type:< ресурс >]] [/view [/user:< пользователь >] [/type:< ресурс >]] Параметры командной строки: Команды: /? - Выводит справку по команде. /set - Добавляет новую или обновляет существующую запись в системном списке управления доступом для указанного типа ресурса. /remove - Удаляет все записи для данного пользователя из списка аудита доступа к глобальным объектам, указанного типом ресурса. /clear - Удаляет все записи из списка аудита доступа к глобальным объектам для указанного типа ресурса. /view - Отображает список записей аудита доступа к глобальным объектам для указанного типа ресурса и пользователя. Пользователя указывать не обязательно. Аргументы команд: /type - Ресурс, для которого выполняется настройка аудита доступа к объектам. Поддерживаемые значения аргумента: File и Key (с учетом регистра). File — каталоги и файлы. Key — разделы реестра. /success - Задает аудит успехов. /failure - Задает аудит отказов. /user - Задает пользователя в одной из следующих форм: — имя_домена\учетная_запись (например, DOM\Administrators) — автономный_сервер\группа — учетная запись (см. API-интерфейс LookupAccountName) — {S-1-x-x-x-x}. Здесь x имеет десятичный формат, а весь ИД безопасности должен быть заключен в фигурные скобки. Например: {S-1-5-21-5624481-130208933-164394174-1001} Предупреждение. Если используется ИД безопасности, проверка существования учетной записи не выполняется. /access - Маска разрешения в одной из двух форм: права универсального доступа: GA - полный универсальный доступ GR - универсальный доступ на чтение GW - универсальный доступ на запись GX - универсальный доступ на выполнение права доступа к файлам: FA - полный доступ к файлу FR - доступ к файлу на чтение FW - доступ к файлу на запись FX - доступ к файлу на выполнение Права доступа к разделам реестра: KA - полный доступ к разделу KR - доступ к разделу на чтение KW - доступ к разделу на запись KX - доступ к разделу на выполнение Например: "/access:FRFW" — включение событий аудита для операция чтения и записи. /condition - Добавление выражения на основе атрибутов, такого как: документ имеет конфиденциальность HBI ("Высокая") - "(@Resource.Sensitivity == \"Высокая\")" Примеры: auditpol /resourceSACL /set /type:Key /user:MYDOMAIN\myuser /success - аудит успехов пользователя myuser домена MYDOMAIN при обращении к реестру системы. auditpol /resourceSACL /remove /type:File /user:{S-1-5-21-56248481-1302087933-1644394174-1001} - аудит успехов пользователя с указанным SID при обращении к файлам. auditpol /resourceSACL /set /type:File /user:everyone /success /failure /access:FRFW condition:"(@Resource.Sensitivity == \"Высокая\")" - аудит успехов и отказов всех пользователей при обращению к файлам с высокой конфиденциальностью на чтение и запись. auditpol /resourceSACL /type:File /clear - удалить все записи из списка аудита доступа к глобальным объектам для файлов. auditpol /resourceSACL /type:Key /view - отобразить все записи аудита системного списка управления доступом для реестра. auditpol /resourceSACL /type:Key /view /user:win10\user - отобразить записи аудита обращений к реестру пользователя user домена win10 Пример отображаемой информации: Запись: 1 Тип ресурса: File Пользователь: win10\user Флаги: Успешно Условие: (@RESOURCE.Sensitivity == "Высокая") Случаи доступа: FILE_ALL_ACCESS |
|