Microsoft Windows Security: настройка расширенного аудита

Общие сведения

Настройка расширенной политики аудита присутствует в ОС Windows Vista/Server 2008 и выше. Политики расширенного аудита поддерживают все серверные версии Windows (Standard и Datacenter) и корпоративные клиентские машины редакции «Профессиональная» (Pro) и «Корпоративная» (Enterprise).

На текущий момент в последних версиях ОС Windows, таких как Windows 10/11, Windows Server 2016, Windows Server 2019 и Windows Server 2022 существует 10 категорий и 61 подкатегория политик аудита.

В более низких версиях операционных систем от Microsoft часть политик может отсутствовать.

Настройка расширенной политики аудита

Настройка осуществляется через локальную политику безопасности (gpedit.msc) или групповые политики (gpmc.msc).

Путь к настройкам расширенного аудита:

в ОС на русском языке: Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Конфигурация расширенной политики аудита;
в ОС на английском языке: Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration.

Политика расширенного аудита для контроллеров домена (DC)

Категория (Category)

Подкатегория (Subcategory)

Параметры аудита (Audit settings)

Вход учетной записи (Account Logon)

Аудит проверки учетных данных (Audit Credential Validation)

Успех и Отказ (Success and Failure)

Аудит службы проверки подлинности Kerberos (Audit Kerberos Authentication Service)

Успех и Отказ (Success and Failure)

Аудит операций с билетами службы Kerberos (Audit Kerberos Service Ticket Operations)

Успех и Отказ (Success and Failure)

Управление учетными записями (Account Management)

Аудит управления группами приложений (Audit Application Group Management)

Успех и Отказ (Success and Failure)

Аудит управления учетными записями компьютеров (Audit Computer Account Management)

Успех (Success)

Аудит управления группами распространения (Audit Distribution Group Management)

Успех (Success)

Аудит других событий управления учетными записями (Audit Other Account Management Events)

Успех (Success)

Аудит управления группами безопасности (Audit Security Group Management)

Успех (Success)

Аудит управления учетными записями пользователей (Audit User Account Management)

Успех и Отказ (Success and Failure)

Подробное отслеживание (Detailed Tracking)

Аудит активности DPAPI (Audit DPAPI Activity)

Успех и Отказ (Success and Failure)

PNP-действие аудита (Audit PNP Activity)

Успех (Success)

Аудит создания процессов (Audit Process Creation)

Успех (Success)

Аудит завершения процессов (Audit Process Termination)

Успех (Success)

Доступ к службе каталогов DS (DS Access)

Аудит подробной репликации службы каталогов (Audit Detailed Directory Service Replication)

Успех и Отказ (Success and Failure)

Аудит доступа к службе каталогов (Audit Directory Service Access)

Успех и Отказ (Success and Failure)

Аудит изменения службы каталогов (Audit Directory Services Changes)

Успех (Success)

Аудит репликации службы каталогов (Audit Directory Service Replication)

Успех и Отказ (Success and Failure)

Вход/выход (Logon/Logoff)

Аудит блокировки учетных записей (Audit Account Lockout)

Отказ (Failure)

Аудит выхода из системы (Audit Logoff)

Успех (Success)

Аудит входа в систему (Audit Logon)

Успех и Отказ (Success and Failure)

Аудит других событий входа и выхода (Audit Other Logon/Logoff Events)

Успех и Отказ (Success and Failure)

Аудит специального входа (Audit Special Logon)

Успех (Success)

Доступ к объектам (Object Access)

Аудит сведений об общем файловом ресурсе (Audit Detailed File Share)

Успех и Отказ (Success and Failure)

Аудит общего файлового ресурса (Audit File Share)

Успех (Success)

Аудит файловой системы (Audit File System)

Успех (Success)

Аудит работы с дескрипторами (Audit Handle Manipulation)

Успех (Success)

Аудит объектов ядра (Audit Kernel Object) [Объект-задание]

Успех и Отказ (Success and Failure)

Аудит других событий доступа к объектам (Audit Other Object Access Events)

Успех (Success)

Аудит реестра (Audit Registry)

Успех (Success)

Аудит съемного носителя (Audit Removable Storage)

Успех (Success)

Изменение политики (Policy Change)

Аудит изменения политики аудита (Audit Policy Change)

Успех (Success)

Аудит изменения политики проверки подлинности (Audit Authentication Policy Change)

Успех (Success)

Аудит изменения политики на уровне правил MPSSVC (Audit MPSSVC Rule-Level Policy Change)

Успех и Отказ (Success and Failure)

Система (System)

Аудит изменения состояния безопасности (Audit Security State Change)

Успех (Success)

Аудит расширения системы безопасности (Audit Security System Extension)

Успех (Success)

Аудит командной строки

Включение аудита создания процессов

Политика Аудит создания процессов (Audit Process Creation) включается через консоль gpedit.msc (локальные политики) или gpmc.msc (групповые политики). Для этого выполните следующие шаги:

Перейдите к настройкам политики по пути:
- в ОС на русском языке: Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Конфигурация расширенной политики аудита → Подробное отслеживание;
- в ОС на английском языке: Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration → Detailed Tracking.
Установите флажки напротив следующих параметров:
- Настроить следующие события аудита (Configure the following audit events);
- Успех (Success).
Нажмите на кнопку Применить (Apply).

Включение командной строки в события создания процессов

Политика Включать командную строку в события создания процессов (Include command line in process creation events) включается через консоль gpedit.msc (локальные политики) или gpmc.msc (групповые политики). Для этого выполните следующие шаги:

Перейдите к настройкам политики по пути:
- в ОС на русском языке: Конфигурация компьютера → Политики → Административные шаблоны → Система → Аудит создания процессов;
- в ОС на английском языке: Computer Configuration → Policies → Administrative Templates → System → Audit Process Creation.
Выберите вариант Включено (Enabled).
Нажмите на кнопку Применить (Apply).

Если на хосте уже включена политика Аудит создания процессов (Audit Process Creation), вам необходимо только включить политику Включать командную строку в события создания процессов (Include command line in process creation events). Дополнительная перезагрузка хоста не требуется.

Дополнительные настройки

Журналирование PowerShell

Перед настройкой журналирования PowerShell убедитесь, что у вас установлена версия PowerShell 5.0 или выше (предустановлена в Windows 10/11, Windows Server 2016, Windows Server 2019 и Windows Server 2022).

Для полного логирования событий PowerShell необходимо включить следующие политики ведения журналов:

Включить регистрацию блоков сценариев PowerShell (Turn on PowerShell Script Block Logging);
Включить ведение журнала модулей (Turn on Module Logging).

Настройка политик осуществляется через оснастку gpedit.msc (локальные политики) или gpmc.msc (групповые политики). Для этого необходимо перейти к настройкам политик по пути:

в ОС на русском языке: Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Windows PowerShell;
в ОС на английском языке: Computer Configuration → Policies → Administrative Templates → Windows Components → Windows PowerShell.

При необходимости вы можете отключить PowerShell 2.0, так как данная версия не имеет встроенных механизмов логирования и защиты, используемых в последних версиях.

Чтобы посмотреть текущий статус Windows PowerShell 2.0, выполните следующую команду:

_Get-WindowsOptionalFeature -Online | Where-Object {$_.FeatureName -like "*PowerShellV2*"}

Чтобы отключить Windows PowerShell 2.0, выполните следующую команду:

_Disable-WindowsOptionalFeature -Online -FeatureName "MicrosoftWindowsPowerShellV2Root"_

_Disable-WindowsOptionalFeature -Online -FeatureName "MicrosoftWindowsPowerShellV2"_

microsoft windows powershell

Настройка аудита доступа к файлам

Аудит доступа к файлам настраивается для каждого каталога отдельно.

Для включения аудита выполните следующие шаги:

Перейдите в групповой или локальной политике в раздел Computer Configuration → Policies → Windows Settings → Security Settings → Advanced Audit Policy Configuration → Object Access.
Для каждого файла или каталога аудит настраивается отдельно. Чтобы настроить аудит требуемой директории, включая все вложенные файлы и папки, выполните следующие шаги:
1. Откройте свойства директории.
2. На вкладке Security нажмите на кнопку Advanced.
3. В появившемся окне перейдите на вкладку Auditioning.
4. Нажмите на кнопку Add, чтобы добавить новую запись.
5. В появившемся окне нажмите на кнопку Select a principal.
6. Выберите учетные записи, которые необходимо логировать.

Пример включения аудита через групповую политику:

Чтобы параметры прав доступа к папке не перезаписались, необходимо выключить наследование. Для этого на вкладке Permissions нажмите на кнопку Enable inheritance. Название кнопки будет изменено на Disable inheritance.
На вкладке Auditing настройте требуемые параметры аудита.

При необходимости воспользуйтесь рекомендациями по настройке аудита файлов на разных типах хостов:

Указанные ниже записи являются рекомендованными и могут отличаться в зависимости от архитектурных параметров информационной системы. Нижеперечисленные пункты в сумме могут оказывать сильную нагрузку на операционные системы и быстро заполнять хранилища событий.

Для системных файлов с опцией Только для этой папки и файлов (This folder and files) необходимо выполнить следующие действия:

Отключить наследование во вложенных каталогах.
Аудит в этих каталогах включать только на изменения.

Список каталогов для включения аудита:

с:\windows;
с:\windows\system32;
c:\windows\tasks;
с:\уindows\SysWOW64;
с:\windows\system32\drivers\etc\hosts;
с:\windows\system32\Wbem;
с:\windows\system.

Данные каталоги являются критическими для мониторинга вредоносной активности. Изменение данных в этих директориях может указывать на попытки:

установки вредоносного ПО и потенциального закрепления в системе;
снижения уровня безопасности системы: изменения конфигурационных файлов, например, hosts, для обхода фильтрации, перехвата трафика или отключения защитных механизмов;
повышения привилегий: модификации системных служб, задач планировщика или объектов WMI для выполнения кода с высокими привилегиями;
нарушения работоспособности системы: непреднамеренного или злонамеренного удаления или изменения критических файлов, ведущего к отказу в обслуживании или нестабильной работе;
сокрытия следов: очистки или изменения журналов событий и следов деятельности.

Вследствие расширенного аудита могут возникать проблемы с производительностью или целостностью мониторинга:

замедление отклика системы из-за обработки большого количества данных;
повышенная нагрузка на диск из-за его постоянной активности;
повышенная нагрузка на ЦП из-за траты вычислительной мощи на обработку событий аудита;
отключение аудита из-за переполнения дисков.

Настройка аудита реестра

Настройка аудита реестра групповых политик выполняется в разделе Policies → Windows Settings → Security Settings → Registry → Add Key.

Выберите путь к веткам реестра и выполните настройку аудита реестра аналогично настройке аудита доступа к файлам.

microsoft windows auditing entry

Ключи реестра для настройки SACL при применении доменных политик

В случае отсутствия указанных веток реестра их настройка не выполняется.

№ Ветка реестра Назначение

№	Ветка реестра	Назначение
1	`CLASSES_ROOT\exefile\shell`	Контекстное меню для исполняемых файлов (.exe)
2	`MACHINE\SAM\SAM\Domains\Account\Users`	Данные учетных записей пользователей (хэши паролей)
3	`MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL`	Отображение скрытых файлов и папок
4	`MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer`	Политики Проводника Windows
5	`MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System`	Системные политики (реестр, диспетчер задач и другие)
6	`MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths`	Политики ограничения запуска ПО (SRP/AppLocker)
7	`MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services`	Политики удаленного рабочего стола (RDP)
8	`MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell`	Политики выполнения PowerShell
9	`MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows`	Параметры загрузки и системных окон
10	`MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon`	Параметры входа в систему
11	`MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore`	Настройки восстановления системы
12	`MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`	Перехват и отладка запуска приложений
13	`MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt`	Управление внешними USB-накопителями
14	`MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`	Автозапуск программ
15	`MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce`	Однократный автозапуск
16	`MACHINE\SYSTEM\CurrentControlSet\Control\Lsa`	Политики аутентификации и безопасности
17	`MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`	История подключенных USB-устройств
18	`MACHINE\SYSTEM\CurrentControlSet\Services`	Конфигурация служб и драйверов
19	`MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server`	Настройки RDP-сервера
20	`MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest`	Параметры аутентификации WDigest

CLASSES_ROOT\exefile\shell

Контекстное меню для исполняемых файлов (.exe)

MACHINE\SAM\SAM\Domains\Account\Users

Данные учетных записей пользователей (хэши паролей)

MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Отображение скрытых файлов и папок

MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Политики Проводника Windows

MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Системные политики (реестр, диспетчер задач и другие)

MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths

Политики ограничения запуска ПО (SRP/AppLocker)

MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services

Политики удаленного рабочего стола (RDP)

MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell

Политики выполнения PowerShell

MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Параметры загрузки и системных окон

MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметры входа в систему

MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

Настройки восстановления системы

MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Перехват и отладка запуска приложений

MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt

Управление внешними USB-накопителями

MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Автозапуск программ

MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Однократный автозапуск

MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Политики аутентификации и безопасности

MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

История подключенных USB-устройств

MACHINE\SYSTEM\CurrentControlSet\Services

Конфигурация служб и драйверов

MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Настройки RDP-сервера

MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest

Параметры аутентификации WDigest

Ключи реестра для локальной настройки SACL (regedit)

№ Ветка реестра Назначение

№	Ветка реестра	Назначение
1	`HKEY_CLASSES_ROOT\exefile\shell`	Контекстное меню для .exe
2	`HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users`	Данные учетных записей пользователей
3	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL`	Отображение скрытых файлов
4	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer`	Политики Проводника
5	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System`	Системные политики
6	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`	Автозапуск (машинный уровень)
7	`HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run`	Автозапуск 32-битных приложений
8	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce`	Однократный автозапуск (машинный уровень)
9	`HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce`	Однократный автозапуск 32-битных приложений
10	`HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths`	Политики ограничения запуска ПО
11	`HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services`	Политики RDP
12	`HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell`	Политики PowerShell
13	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows`	Системные параметры загрузки
14	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon`	Параметры входа
15	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore`	Восстановление системы
16	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options`	Перехват запуска приложений
17	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt`	Управление USB-накопителями
18	`HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`	Автозапуск текущего пользователя
19	`HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce`	Однократный автозапуск пользователя
20	`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa`	Аутентификация и политики безопасности
21	`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR`	История USB-устройств
22	`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services`	Службы и драйверы
23	`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders`	Поставщики безопасности
24	`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest`	Аутентификация WDigest
25	`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server`	Настройки терминального сервера

HKEY_CLASSES_ROOT\exefile\shell

Контекстное меню для .exe

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

Данные учетных записей пользователей

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Отображение скрытых файлов

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Политики Проводника

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Системные политики

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Автозапуск (машинный уровень)

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

Автозапуск 32-битных приложений

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Однократный автозапуск (машинный уровень)

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce

Однократный автозапуск 32-битных приложений

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths

Политики ограничения запуска ПО

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services

Политики RDP

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell

Политики PowerShell

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Системные параметры загрузки

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметры входа

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

Восстановление системы

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Перехват запуска приложений

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt

Управление USB-накопителями

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Автозапуск текущего пользователя

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Однократный автозапуск пользователя

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Аутентификация и политики безопасности

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

История USB-устройств

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Службы и драйверы

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Поставщики безопасности

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest

Аутентификация WDigest

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Настройки терминального сервера

Была ли полезна эта страница?

Обратная связь

Microsoft Windows Security: настройка расширенного аудита

Общие сведения

Настройка расширенной политики аудита

Рекомендованные параметры политики расширенного аудита для рабочих станций и серверов

Политика расширенного аудита для контроллеров домена (DC)

Аудит командной строки

Включение аудита создания процессов

Включение командной строки в события создания процессов

Дополнительные настройки

Журналирование PowerShell

Настройка аудита доступа к файлам

Настройка аудита реестра

Ключи реестра для настройки SACL при применении доменных политик

Ключи реестра для локальной настройки SACL (regedit)