День добрый. Сижу разбираюсь с политикой аудита на WS 2008. Испытуемый и эксперементатор в одном домене. Настраиваю на файловом сервере в локальной политике безопасности политику аудита. Выбираю элементы "аудит изменения политики" и "аудит использования привилегий", устанавливаю флажки на успех и отказ.
На файловый сервер, где я применил политику, лезу под учеткой человека, который не может читать и вносить изменения в файлы. Пытаюсь руками выдать себе доступ, естественно кукишь, нельзя. Потом иду в журнал безопасности, хочу увидеть запись отказа. Но её там нет. Вот вопрос, что я мог пропустить. Так же менял доступ руками админа, тоже записи в журнал нет. Но при этом имеются записи, что я просто зашел на файловый сервер.
Конечно в журнал вносятся записи такого рода:
» Спойлер (нажмите, чтобы прочесть) «
Код
- System
- Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
EventID 5447
Version 0
Level 0
Task 13573
Opcode 0
Keywords 0x8020000000000000
- TimeCreated
[ SystemTime] 2016-08-30T04:11:49.423946600Z
EventRecordID 720419
Correlation
- Execution
[ ProcessID] 652
[ ThreadID] 704
Channel Security
Computer serv.class.ru
Security
- EventData
ProcessId 1148
UserSid S-1-5-19
UserName NT AUTHORITY\LOCAL SERVICE
ProviderKey {DECC16CA-3F33-4346-BE1E-8FB4AE0F3D62}
ProviderName Корпорация Майкрософт
ChangeType %%16384
FilterKey {A1C6FE98-14B0-4FE6-A90C-945670D60C9B}
FilterName Мастер настройки безопасности: правило брандмауэра для удаленного доступа - Scshost - модуль сопоставления RPC конечной точки
FilterType %%16388
FilterId 97275
LayerKey {E1CD9FE7-F4B5-4273-96C0-592E487B8650}
LayerName Результатов получения ALE версии 4
LayerId 44
Weight 10378405153542766592
Conditions Код условия: {d78e1e87-8644-4ea5-9437-d809ecefc971} Значение: Равно Условие: 00000000 5c 00 64 00 65 00 76 00-69 00 63 00 65 00 5c 00 \.d.e.v.i.c.e.\. 00000010 68 00 61 00 72 00 64 00-64 00 69 00 73 00 6b 00 h.a.r.d.d.i.s.k. 00000020 76 00 6f 00 6c 00 75 00-6d 00 65 00 31 00 5c 00 v.o.l.u.m.e.1.\. 00000030 77 00 69 00 6e 00 64 00-6f 00 77 00 73 00 5c 00 w.i.n.d.o.w.s.\. 00000040 73 00 79 00 73 00 74 00-65 00 6d 00 33 00 32 00 s.y.s.t.e.m.3.2. 00000050 5c 00 73 00 63 00 73 00-68 00 6f 00 73 00 74 00 \.s.c.s.h.o.s.t. 00000060 2e 00 65 00 78 00 65 00-00 00 ..e.x.e... Код условия: {0c1ba1af-5765-453f-af22-a8f791ac775b} Значение: Равно Условие: 0x0087 Код условия: {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7} Значение: Равно Условие: 0x06
Action %%16390
CalloutKey {00000000-0000-0000-0000-000000000000}
CalloutName -
Они и отражают изменения?
Сообщение отредактировал makadjamba - 30.8.2016, 11:38