Эта страница используется для создания политики аудита для серверов в организации. Аудит - это процесс отслеживания действий пользователей и занесения выбранных типов событий в журнал безопасности. Политика аудита определяет типы событий, которые требуется собирать.

При отслеживании и сборе событий аудита используются дисковое пространство и другие ресурсы. Перед выбором политики аудита прочтите статью «Советы и рекомендации по аудиту событий безопасности» (http://go.microsoft.com/fwlink/?LinkId=92229).

Для сбора событий аудита с нескольких серверов в одном хранилище можно использовать Microsoft Operations Manager (MOM).

В следующей таблице описывается каждый из трех режимов политики аудита, который можно выбрать при помощи мастера настройки безопасности (SCW).

Политика аудита Описание Тип событий аудита и параметры политики

Не выполнять аудит

Аудит не выполняется. Экономится время процессора и дисковое пространство, что повышает быстродействие других процессов.

Внимание!

Не будут доступны сведения аудита для обнаружения злоумышленников, поиска попыток несанкционированного доступа или любых других целей.

Нет

Выполнять аудит успешных действий

При аудите успешных действий в журнале событий создается меньше записей, чем при аудите как успешных, так и неуспешных действий. Используйте этот вариант для записи только событий фактического доступа пользователей, но не попыток доступа.

Примечание

При аудите только успешных действий попытки несанкционированного проникновения не отображаются в журнале. Для попыток несанкционированного проникновения характерно большое количество неуспешных действий.

Аудит событий входа в систему: успех, отказ

Аудит управления учетными записями: успех

Аудит доступа к службе каталогов: успех

Аудит входа в систему: успех, отказ

Аудит доступа к объектам: успех

Аудит изменения политики: успех

Аудит использования привилегий: нет аудита

Аудит отслеживания процессов: успех

Аудит системных событий: успех, отказ

Выполнять аудит как успешных, так и неуспешных действий

Помимо отслеживания успешного доступа, события аудита используются также для отслеживания попыток пользователей получить доступ к областям, для которых они не авторизованы.

Примечание

Не рекомендуется выбирать режим Выполнять аудит как успешных, так и неуспешных действий, если не планируется регулярно просматривать журналы событий безопасности. При попытках получения пользователями доступа к ресурсам, для которых они не авторизованы, может быть создано столько записей аудита отказов, что журнал переполнится. При переполнении журнала безопасности самые старые записи перезаписываются.

Аудит событий входа в систему: успех, отказ

Аудит управления учетными записями: успех, отказ

Аудит доступа к службе каталогов: успех, отказ

Аудит входа в систему: успех, отказ

Аудит доступа к объектам: успех, отказ

Аудит изменения политики: успех, отказ

Аудит использования привилегий: нет аудита

Аудит отслеживания процессов: успех, отказ

Аудит системных событий: успех, отказ

Дополнительные ссылки