1

Я ищу что-то в журналах безопасности Windows, которое сообщит мне, если аудит отключен - идея заключается в том, что если кто-то хочет скрыть свою деятельность, он отключит журнал аудита, сделает все, что захочет, и затем включите его снова.

Я знаю, что есть событие безопасности Windows «1100: служба регистрации событий остановилась», которое обычно происходит во время выключения, но, похоже, оно не регистрируется, если кто-то выключает его. Там также нет аналога для Windows Server 2003.

Есть ли в журналах безопасности (или системных журналах) код события, который сообщит мне, когда кто-то вручную отключил аудит?

Любая помощь будет оценена.

|источник

1 ответ1

0

Какой идентификатор события определяет, когда аудит отключен?

Вы ищете 4719: Политика аудита системы была изменена:

Это событие всегда регистрируется, когда политика аудита отключена, независимо от параметра подкатегории "Изменение политики аудита". Это и несколько других событий могут помочь определить, когда кто-то пытается отключить аудит, чтобы скрыть свои следы.

4719: Политика системного аудита была изменена

  • Политика аудита системного уровня этого компьютера была изменена с помощью локальной политики безопасности, групповой политики в Active Directory или команды audipol.

  • Согласно Microsoft, это событие всегда регистрируется, когда политика аудита отключена, независимо от параметра подкатегории "Изменение политики аудита". Это и несколько других событий могут помочь определить, когда кто-то пытается отключить аудит, чтобы скрыть свои следы.

  • Если для настройки политики аудита использовалась групповая политика, к сожалению, в полях "Тема" не указывается, кто на самом деле изменил политику. В таких случаях это событие всегда показывает, что локальный компьютер изменил политику, поскольку компьютер является субъектом безопасности, под которым запускается gpupdate.

  • Если для настройки политики аудита использовался auditpol, пользователь будет правильно отображать в теме:

Тема:

Идентификатор и сеанс входа пользователя, который изменил политику - всегда локальную систему - см. Примечание выше.

  • Идентификатор безопасности: SID учетной записи.
  • Имя учетной записи: имя для входа в учетную запись.
  • Домен учетной записи: домен или - в случае локальных учетных записей - имя компьютера.
  • Идентификатор входа - это полууникальный (уникальный между перезагрузками) номер, который идентифицирует сеанс входа в систему. Идентификатор входа в систему позволяет коррелировать в обратном направлении к событию входа в систему (4624), а также к другим событиям, зарегистрированным во время того же сеанса входа в систему.

См. Ссылку на источник ниже для получения полного списка категорий и подкатегорий мероприятия.

Источник 4719: Политика системного аудита была изменена

Дальнейшее чтение

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .