|
|
Главная | Словарь | Книги | Контакты |
Команда AUDUTPOL используется для управления политиками аудита в операционных системах Windows 7 и старше. Аудит - это процесс отслеживания действий пользователей и фиксации происходящих событий с записью в журнал безопасности операционной системы (ОС). В этот журнал записываются попытки входа в систему, сведения о выполнении определенных действий и результатах их выполнения, а также события, связанные с созданием, открытием, изменением и уничтожением определенных объектов ОС. Политики аудита используются для определения четких правил использования ресурсов, для выявления узких мест в системе безопасности, для контроля действий пользователей а также выявления атак на сеть и локальные ресурсы организации.
Для управления политиками аудита в графической среде пользователя применяется редактор локальной групповой политики ( gpedit.msc ). Для редактирования политик аудита используется раздел Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - , и в значительной степени - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - - Конфигурация расширенной политики аудита - Политика аудита системы – Объект локальной групповой политикию.
По умолчанию, параметры политики аудита не заданы – имеют состояние ”Нет аудита” (или ”Не определено”).
Утилита командой строки auditpol.exe является стандартным средством управления политиками аудита в операционных системах Windows 7 и более поздних. Должна выполняться в контексте учетной записи администратора системы (”Запустить от имени Администратора”). Формат командной строки:
AuditPol команда [< подкоманда > < параметры >]
При каждом запуске можно указывать только одну команду.
Команды:
/? - Контекстная справка.
/get - Отображение текущей политики аудита.
/set - Установка политики аудита.
/list - Отображение элементов политики, которые можно выбрать.
/backup - Сохранение политики аудита в файл.
/restore - Восстановление политики аудита из файла.
/clear - Очистка политики аудита.
/remove - Удаление политики аудита для каждого из пользователей учетной записи.
/resourceSACL - Настройка системных списков управления доступом для глобальных ресурсов. System Access-Control List (SACL) - системный список управления доступом . SACL управляется системой и используется для обеспечения аудита попыток доступа к объектам файловой системы, определяя условия при которых генерируется события безопасности. В операционных системах Windows Vista и более поздних, SACL используется еще и для реализации механизма защиты системы с использованием уровней целостности ( Integrity Level, IL).
Для получения сведений о соответствующей команде используется синтаксис:
AuditPol команда /?
Порядок использования утилиты auditpol.exe практически ничем не отличается для различных версий Windows, начиная с Windows 7. Рассматриваемые ниже примеры приведены для случая применения программы auditpol.exe в среде ОС Windows 10. В редких случаях, некоторые параметры политики аудита, рассматриваемые в примерах, могут отсутствовать при выполнении команды в среде ОС Windows 7-8.1. Для работы с утилитой auditpol.exe требуется повышение привилегий пользователя через ”Запуск от имени администратора”
При использовании параметра командной строки /clear выполняется удаление политики аудита по пользователям для всех пользователей, сброс политики аудита системы для всех подкатегорий и отключение всех параметров аудита.
Формат командной строки:
AuditPol /clear [/y]
/y - Запрос на подтверждение очистки всех политик аудита не отображается.
auditpol /clear /y - выполнить сброс политик аудита без отображения запроса на подтверждение данной операции.
Для сохранения и восстановления текущих политик аудита используются команды:
AuditPol /backup /file:имя_файла - сохранить параметры политики аудита системы, и параметры аудита по пользователям в файл с указанным именем. Выходные данные будут записаны в формате CSV.
AuditPol /restore /file:имя_файла - восстановить параметры политики аудита системы, и параметры аудита по пользователям из файла с указанным именем.
Примеры:
auditpol /backup /file:c:\auditpolicy.csv - сохранить текущие параметры политики аудита в файл c:\auditpolicy.csv. О результате выполнения команды на экране консоли отображается соответствующее сообщение (ошибка или успешное выполнение).
auditpol /restore /file:c:\auditpolicy.csv - восстановить текущие параметры политики аудита из файла c:\auditpolicy.csv. О результате выполнения команды на экране консоли отображается соответствующее сообщение (ошибка или успешное выполнение).
Для вывода списка категорий или подкатегорий политики аудита, либо списка пользователей, для которых определена политика аудита по пользователям, используется команда /list. Подсказку по использованию можно отобразить при выполнении команды:
auditpol.exe /list /?
Формат командной строки при использовании команды /list
AuditPol /list [/user|/category|/subcategory[:< имя_категории >|< {GUID} >|*] [/v] [/r]
Параметры командной строки:
/? -Контекстная справка.
/user - Вывод списка всех пользователей, для которых определена политика аудита по пользователям. При использовании с параметром /v также отображается SID пользователя.
/category - Отображение распознанных системой имен категорий. Если используется с параметром /v, также отображается GUID.
/subcategory - Отображение распознанных системой имен подкатегорий для указанной категории. Если используется параметр /v, также отображаются GUID подкатегорий.
Примеры использования:
auditpol /list /user - отобразить список пользователей, для которых определена политика аудита.
auditpol /list /category - отобразить список имен категорий, допустимых в данной системе. Пример отображаемой информации для русскоязычной Windows 10:
Категория или подкатегория:
Вход учетной записи
Вход/выход
Доступ к объектам
Доступ к службе каталогов (DS)
Изменение политики
Использование прав
Подробное отслеживание
Система
Учетные записи
auditpol /list /category /v - то же, что и в предыдущем примере, но с отображением глобальных уникальных идентификаторов (GUID) для каждой категории. В командах утилиты auditpol.exe можно использовать как наименования категорий, так и значения их идентификаторов GUID.
auditpol /list /subcategory:Вход/Выход - отобразить список подкатегорий для категории Вход/Выход. Пример отображаемой информации для Windows 10:
Категория или подкатегория
Вход/выход
Вход в систему
Выход из системы
Блокировка учетной записи
Основной режим IPsec
Быстрый режим IPsec
Расширенный режим IPsec
Специальный вход
Другие события входа и выхода
Сервер сетевых политик
Заявки пользователей или устройств на доступ
Членство в группах
auditpol /list /subcategory:”Доступ к объектам”,”Доступ к службе каталогов (DS)” - то же, что и в предыдущем примере, но указано более одной подкатегории через запятую. Если в имени категории имеется хотя бы один пробел, оно заключается в двойные кавычки.
auditpol /list /subcategory:Вход/Выход,{6997984A-797A-11D9-BED3-505054503030} - то же, что и в предыдущем примере, но вместо имени категории используется соответствующий GUID.
auditpol /list /subcategory:Вход/Выход,{6997984A-797A-11D9-BED3-505054503030} /v - то же, что и в предыдущем примере, но кроме имен подкатегорий отображаются их идентификаторы GUID.
Формат командной строки:
AuditPol /get [/user[:< имя_пользователя >|< {SID} >]] [/category:*|< имя >|< {GUID} >[,:< имя >|< {GUID} >...]] [/subcategory:< имя >|< {GUID} >[,:< имя >|< {GUID} > ... ]] [/option:< имя_параметра >] [/sd] [/r]
Параметры командной строки:
/? - Контекстная справка.
/user - Субъект безопасности, для которого опрашивается политика аудита по пользователям. Необходимо указать либо параметр /category, либо /subcategory. Пользователь может быть задан с помощью SID или по имени. Если не задана учетная запись пользователя, опрашивается политика аудита системы.
/category - Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Чтобы установить опрос всех категорий аудита, используйте звездочку ("*").
/subcategory - Одна или несколько подкатегорий аудита, заданные с помощью GUID или по имени.
/sd - Извлечение дескриптора безопасности, используемого для делегирования доступа к политике аудита.
/option - Извлечение существующей политики для CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects или AuditBaseDirectories.
/r - Отображение результатов в формате отчета (CSV) .
Примеры использования:
auditpol /get /category:* - отобразить параметры политики аудита для всех категорий и пользователей. Обычно, данная команда используется для получения списка установленных и настроенных политик аудита, поэтому системные администраторы часто используют ее в цепочке с командой поиска текста find: auditpol /get /category:* | find /v "Без аудита" - отобразить настроенные категории политик аудита, т.е. не содержащие (find /v) строку Без аудита.
auditpol /get /category:* | find "Сбой" - отобразить список категорий, настроенных на аудит отказов в доступе. Строка ”Сбой” соответствует значению ”Отказ” в редакторе групповых политик gpedit.msc
auditpol /get /category:* | find "Успех" - отобразить список категорий, настроенных на аудит успехов.
auditpol /get /user:win10\user /Category:"Система","Вход/Выход" - отобразить состояние политики аудита для пользователя user домена win10 для категорий Система и Вход/Выход
auditpol /get /Category:"Система" - отобразить состояние системной политики аудита для категории Система. Пример отображаемой информации:
Политика аудита системы
| Категория или подкатегория Система Расширение системы безопасности Целостность системы Драйвер IPSEC Другие системные события Изменение состояния безопасности |
Параметр Без аудита Успех и сбой Без аудита Успех и сбой Успех |
auditpol /get /Subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /r - отобразить параметры политики аудита для подкатегории с указанным GUID (соответствует категории Система, подкатегории Целостность системы. Результат отображается в формате CSV (значения разделенные запятой). Если параметр /r не задан, то результат будет представлен в виде таблицы, как в предыдущем примере.
auditpol /get /option:CrashOnAuditFail - отобразить значение параметра политики аудита CrashOnAuditFail. Данный параметр используется для гарантированного прекращения обслуживания пользователей при возникновении события переполнения журналов аудита.
auditpol /get /user:{S-1-5-21-397123417-1234567} /Category:"Система"– вместо имени пользователя используется соответствующий идентификатор GUID.
auditpol /get /sd - отобразить дескриптор безопасности политики аудита. Пример отображаемой информации:
Дескриптор безопасности политики аудита: D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY)
Формат командной строки:
AuditPol /set [/user[:< имя_пользователя >|< {SID} >][/include][/exclude]] [/category:< имя >|< {GUID}>[,:< имя >|< {GUID} >...]] [/success:< enable >|< disable >][/failure:< enable >|< disable >] [/subcategory:< имя >|< {GUID} >[,:< имя >|< {GUID} >...]] [/success:< enable >|< disable >][/failure:< enable >|< disable >] [/option:< имя_параметра > /value:< enable >|< disable >]
Параметры командной строки:
/? - Контекстная справка.
/user - Субъект безопасности, для которого устанавливается политика аудита по пользователям, заданная параметром category или /subcategory. Необходимо задать либо категорию, либо подкатегорию с помощью SID или по имени.
/include - Указывается вместе с параметром /user, означает, что политикой для данного пользователя создается аудит, даже если он не указан политикой аудита системы. Этот параметр используется по умолчанию и применяется автоматически, если ни параметр /include, ни параметр /exclude не указаны явно.
/exclude - Указывается вместе с параметром /user, означает, что политикой для данного пользователя запрещается аудит, независимо от параметров политики аудита системы. Этот параметр не учитывается для членов локальной группы "Администраторы".
/category - Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Если пользователь не указан, устанавливается политика системы.
/subcategory - Одна или несколько категорий аудита, заданные с помощью GUID или по имени. Если пользователь не указан, устанавливается политика системы.
/success - Установка успешного аудита. Этот параметр используется по умолчанию и применяется автоматически, если ни параметр /success, ни /failure не указаны явно. Этот параметр следует использовать с параметром, разрешающим или запрещающим его.
/failure - Установка неудачного аудита. Этот параметр следует использовать с параметром, разрешающим или запрещающим его.
/option - Установка политики аудита для CrashOnAuditFail, FullPrivilegeAuditing, AuditBaseObjects или AuditBaseDirectories.
/sd - Установка дескриптора безопасности, используемого для делегирования доступа к политике аудита. Дескриптор безопасности следует указывать с помощью SDDL. Дескриптору безопасности должен быть назначен список DACL.
Примеры использования:
auditpol /set /subcategory:"Целостность системы" /failure:disable - установить системную политику аудита для подкатегории Целостность системы в состояние ”Успех”.
auditpol /set /subcategory:"Целостность системы" - аналог предыдущей команды, но используется значение по умолчанию (”Успех”)
auditpol /set /subcategory:"Целостность системы" /success:enable - также аналог предыдущих команд, но с использованием параметра success
auditpol /set /subcategory:{0cce9212-69ae-11d9-bed3-505054503030} /failure:disable - аналог предыдущих команд, но подкатегория задана идентификатором GUID
Для просмотра установленного значения политики можно воспользоваться командой auditpol /get /subcategory:"Целостность системы"
auditpol /set /user:win10\user /subcategory:"Целостность системы" /success:enable - аналогично предыдущим командам, но политика определяется для пользователя user домена или компьютера win10
auditpol /set /option:CrashOnAuditFail /value:enable - разрешить режим отказа обслуживания пользователей при переполнении журнала аудита. Если этот параметр задан, и произошло переполнение журнала безопасности, то система аварийно завершится стоп-ошибкой (”Синий экран смерти Windows”)
STOP 0xC0000244 when security log full
STOP 0xC0000244 — когда журнал безопасности полон
auditpol /set /sd:D:(A;;DCSWRPDTRC;;;BA)(A;;DCSWRPDTRC;;;SY)- изменить дескриптор безопасности политики аудита.
Формат командной строки:
AuditPol /resourceSACL [/set /type:< ресурс > [/success] [/failure] /user:< пользователь > [/access:< флаги_доступа >] [/condition:< выражение >]] [/remove /type:< ресурс > user:< пользователь > /type:< ресурс >]] [/clear [/type:< ресурс >]] [/view [/user:< пользователь >] [/type:< ресурс >]]
Параметры командной строки:
Команды:
/? - Выводит справку по команде.
/set - Добавляет новую или обновляет существующую запись в системном списке управления доступом для указанного типа ресурса.
/remove - Удаляет все записи для данного пользователя из списка аудита доступа к глобальным объектам, указанного типом ресурса.
/clear - Удаляет все записи из списка аудита доступа к глобальным объектам для указанного типа ресурса.
/view - Отображает список записей аудита доступа к глобальным объектам для указанного типа ресурса и пользователя. Пользователя указывать не обязательно.
Аргументы команд:
/type - Ресурс, для которого выполняется настройка аудита доступа к объектам. Поддерживаемые значения аргумента: File и Key (с учетом регистра).
File — каталоги и файлы.
Key — разделы реестра.
/success - Задает аудит успехов.
/failure - Задает аудит отказов.
/user - Задает пользователя в одной из следующих форм:
— имя_домена\учетная_запись (например, DOM\Administrators)
— автономный_сервер\группа
— учетная запись (см. API-интерфейс LookupAccountName)
— {S-1-x-x-x-x}. Здесь x имеет десятичный формат, а весь
ИД безопасности должен быть заключен в фигурные скобки.
Например: {S-1-5-21-5624481-130208933-164394174-1001}
Предупреждение. Если используется ИД безопасности, проверка существования учетной записи не выполняется.
/access - Маска разрешения в одной из двух форм:
