Jakie dokumenty udostępnia baza Szukaj w Archiwach?

Dziennik Audytu Windows 10: Klucz do Bezpieczeństwa Systemu

01/06/2023

Rating: 4.58 (4592 votes)

System Windows 10, podobnie jak jego poprzednie wersje, oferuje funkcję audytu, która jest niezwykle przydatna zarówno dla użytkowników domowych, jak i administratorów systemów. Funkcja ta umożliwia śledzenie zdarzeń związanych z bezpieczeństwem w dzienniku audytu, co pozwala na monitorowanie aktywności systemu i wykrywanie potencjalnych zagrożeń. Dziennik audytu stanowi nieocenione źródło informacji o tym, co dzieje się w systemie operacyjnym, pomagając w diagnozowaniu problemów, śledzeniu działań użytkowników i zapewnieniu bezpieczeństwa danych.

Spis treści

Co to jest Dziennik Aplikacji Windows?

Windows udostępnia użytkownikom i administratorom systemów dzienniki zdarzeń, które pozwalają na lepsze zrozumienie tego, co dzieje się w systemie, zarówno pod względem działania aplikacji, jak i bezpieczeństwa. Dziennik aplikacji jest specyficznym rodzajem dziennika, który rejestruje zdarzenia generowane przez aplikacje i usługi. Mogą to być zarówno aplikacje komercyjne, takie jak SQL Server, jak i aplikacje stworzone wewnątrz organizacji.

Czy system Windows 10 ma dziennik audytu?
Funkcja Audit w systemie Windows 10 to przydatne przeniesienie z poprzednich wersji systemu Windows. Umożliwia użytkownikom i administratorom systemu Windows 10 przeglądanie zdarzeń bezpieczeństwa w dzienniku audytu w celu śledzenia zdarzeń systemowych i bezpieczeństwa.

Rejestrowane zdarzenia mogą być bardzo różnorodne. Od zdarzeń uruchamiania aplikacji, po błędy działania i inne istotne informacje. Specjaliści wsparcia technicznego często proszą o dostęp do dziennika aplikacji, aby pomóc w diagnozowaniu problemów z programami.

Gdzie Znaleźć Dziennik Aplikacji?

Microsoft zachował Podgląd zdarzeń (Event Viewer) w systemie Windows 10, co ułatwia dostęp do dzienników. Aby szybko uruchomić Podgląd zdarzeń, wpisz „Event” w polu wyszukiwania Cortana w Windows 10, a następnie kliknij „Podgląd zdarzeń”, gdy pojawi się w wynikach wyszukiwania. Po otwarciu Podglądu zdarzeń, wybierz „Dzienniki systemu Windows” z drzewa konsoli po lewej stronie, a następnie kliknij dwukrotnie „Aplikacja”. W ten sposób wyświetli się dziennik aplikacji Windows 10.

Dziennik aplikacji rejestruje szereg informacji o zdarzeniach aplikacji, w tym:

  • Nazwa dziennika
  • Źródło
  • Identyfikator zdarzenia
  • Poziom (np. błąd, ostrzeżenie, informacja)
  • Użytkownik
  • Czas zarejestrowania zdarzenia

Jakie Zdarzenia Są Zazwyczaj Rejestrowane?

Dziennik aplikacji zazwyczaj rejestruje następujące typy zdarzeń:

  • Uruchamianie aplikacji
  • Wyjątki aplikacji (błędy)
  • Dzienniki SQL (w przypadku aplikacji korzystających z SQL Server)
  • Ważne zdarzenia aplikacji, w tym ponowne uruchomienia, zatrzymania i inne zdarzenia związane z bezpieczeństwem
  • Informacje debugowania (opcjonalnie)

Te informacje są niezwykle cenne dla audytorów, specjalistów ds. bezpieczeństwa informacji oraz działów wsparcia technicznego. Pozwalają na dokładną analizę zdarzeń aplikacji w systemie Windows 10 i szybkie reagowanie na ewentualne problemy.

Znaczenie Logowania i Audytu

Logowanie i audyt działają synergicznie jako elementy kontroli dostępu, zapewniając, że tylko autoryzowane działania mają miejsce w systemie. Odgrywają kluczową rolę w identyfikacji, zapobieganiu i powstrzymywaniu niepożądanych działań. Dodatkowo, dostarczają ścieżkę audytu, która może być wykorzystana w dochodzeniach i analizach bezpieczeństwa.

Co oznacza dostęp do obiektów w audycie zabezpieczeń systemu Windows?
Możesz użyć kategorii dziennika Object Access Security, aby przeprowadzić audyt wszystkich prób dostępu do plików i innych obiektów Windows . Oprócz śledzenia plików możesz śledzić próby dostępu Success i Failure do folderów, usług, kluczy rejestru i obiektów drukarek.

Logowanie, samo w sobie, jest bardziej podatne na zmiany – dzienniki mogą być usuwane lub modyfikowane. Audyt jest uważany za trwalszą metodę rejestrowania i przechowywania zdarzeń, ponieważ mechanizmy audytu są zazwyczaj bardziej odporne na manipulacje i dezaktywację.

Jak Włączyć Audyt Dzienników Aplikacji w Windows 10?

Poniżej przedstawiono kroki, które należy podjąć, aby włączyć audyt dziennika aplikacji w systemie Windows 10.

Włączanie Audytu

Pierwszym krokiem jest włączenie funkcji audytu w systemie Windows 10. Aby to zrobić, wpisz „CMD” w polu wyszukiwania Cortana. Kliknij prawym przyciskiem myszy na „Wiersz polecenia”, gdy się pojawi, i wybierz „Uruchom jako administrator” (będzie to wymagało podania danych uwierzytelniających administratora). Po otwarciu wiersza polecenia, uruchom następujące polecenie:

Auditpol /set /Category:System /failure:enable

Następnie zrestartuj system, aby zmiany zostały wprowadzone.

Ustawienie Zasad Audytu

Kolejnym krokiem jest ustawienie zasad audytu, które określą, co dokładnie będzie rejestrowane. Uruchom Edytor lokalnych zasad grupy. Ponownie otwórz wiersz polecenia i wpisz gpedit.msc, a następnie kliknij „OK”.

W Edytorze lokalnych zasad grupy przejdź do Zasady inspekcji, które znajdują się w: Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Zasady inspekcji. W tym miejscu zostaną wyświetlone konfiguracje audytu, które pozwalają na ustawienie parametrów audytu. Kliknij dwukrotnie na wybrane opcje po prawej stronie Edytora lokalnych zasad grupy. Możesz ustawić audyt dla zdarzeń sukcesu (powodzenia) lub porażki (niepowodzenia).

W jakim programie robić audyt energetyczny?
ArCADia-TERMOCAD Audyt 11 Wykonuje audyty energetyczne, remontowe i efektywności energetycznej budynku zgodnie z rozporządzeniem MRiT z dnia 15 grudnia 2022r.

Jak Przeglądać Dziennik Zdarzeń Zabezpieczeń?

Po włączeniu funkcji audytu Windows 10 i ustawieniu zasad audytu, można rozpocząć przeglądanie zarejestrowanych zdarzeń. Aby znaleźć dziennik zdarzeń zabezpieczeń, otwórz Podgląd zdarzeń. Po otwarciu Podglądu zdarzeń, rozwiń drzewo konsoli i kliknij „Zabezpieczenia”.

Uwaga: Jeśli funkcja audytu nie jest prawidłowo włączona, a zasady audytu nie są ustawione, ten dziennik będzie pusty.

Co Oznacza Dostęp do Obiektów w Audycie Zabezpieczeń Systemu Windows?

Kategoria audytu „Dostęp do obiektów” w dzienniku zabezpieczeń systemu Windows pozwala na śledzenie prób dostępu do różnych obiektów systemu, w tym plików, folderów, usług, kluczy rejestru i drukarek. Jedynymi obiektami, które nie są objęte tą kategorią, są obiekty Active Directory, które są śledzone za pomocą kategorii „Dostęp do usług katalogowych”.

Audyt dostępu do obiektów jest dwuetapowy. Najpierw należy włączyć zasady audytu dostępu do obiektów na komputerze, który zawiera obiekty do monitorowania. Następnie, należy wybrać konkretne obiekty i zdefiniować typy dostępu, które mają być monitorowane. Wyboru tych ustawień dokonuje się w ustawieniach audytu obiektu, które znajdują się w oknie „Zaawansowane ustawienia zabezpieczeń” obiektu.

Co robi audyt w programie Revit?
Używaj funkcji Audit okresowo, aby utrzymać kondycję modelu Revit, podczas przygotowywania się do uaktualnienia oprogramowania lub w razie potrzeby zlokalizowania i naprawienia problemów. Funkcja Audit skanuje, wykrywa i naprawia uszkodzone elementy w modelu . Nie zapewnia informacji zwrotnej o tym, które elementy zostały naprawione.

Kategoria „Dostęp do obiektów” ma 11 podkategorii, z których dwie główne to System plików i Rejestr, które śledzą zdarzenia dostępu do systemu plików i rejestru, odpowiednio.

Podkategorie Audytu Dostępu do Obiektów:

PodkategoriaOpis
System plikówŚledzenie dostępu do plików i folderów.
RejestrŚledzenie dostępu do kluczy i wartości rejestru.
Obiekt jądraZdarzenia związane z obiektami jądra systemu (rzadko używane).
SAMŚledzenie dostępu do obiektów w lokalnym Menedżerze kont zabezpieczeń (SAM).
Usługi certyfikacjiZdarzenia związane z wbudowanym Urzędem Certyfikacji i infrastrukturą klucza publicznego (PKI).
Generowane przez aplikacjęZdarzenia zgłaszane przez aplikacje do dziennika zabezpieczeń.
Udostępnianie plikówRejestruje pierwsze uzyskanie dostępu do udziału sieciowego.
Platforma filtrowania – odrzucanie pakietówPokazuje pakiety blokowane przez zaporę ogniową i platformę filtrowania.
Platforma filtrowania – połączeniePokazuje aplikacje i połączenia dozwolone lub zablokowane przez filtrowanie.
Inne zdarzenia dostępu do obiektówRóżne zdarzenia obiektów, w tym zadania zaplanowane, DNS i Plug&Play.

Wszystkie te podkategorie dzielą te same identyfikatory zdarzeń dla zdarzeń otwierania, dostępu, zamykania i usuwania obiektów. Dlatego ważne jest, aby filtrować zdarzenia nie tylko na podstawie identyfikatora zdarzenia, ale także na podstawie podkategorii.

Identyfikatory Zdarzeń w Audycie Dostępu do Obiektów

Poniżej znajduje się tabela z przykładowymi identyfikatorami zdarzeń związanych z audytem dostępu do obiektów:

Identyfikator ZdarzeniaTytuł
4656Żądanie uchwytu do obiektu
4658Uchwyt do obiektu został zamknięty
4660Obiekt został usunięty
4663Podjęto próbę uzyskania dostępu do obiektu

Korzystając z „Zaawansowanych ustawień zabezpieczeń” obiektu, można ograniczyć audyt według użytkownika lub grupy, która uzyskuje dostęp do obiektu, żądanych uprawnień oraz tego, czy próba dostępu zakończyła się sukcesem, czy porażką.

Podsumowanie

Audyt dzienników aplikacji jest cennym źródłem informacji o zdarzeniach dotyczących różnych aplikacji Windows 10, w tym potężnego SQL Servera. Chociaż Windows 10 ma przydatną funkcję audytu, musi ona zostać prawidłowo włączona i skonfigurowana z odpowiednimi zasadami audytu, zanim będzie można z niej korzystać w audytach, dochodzeniach i podobnych działaniach. Jeśli występują niepokojące zdarzenia aplikacji lub podejrzewasz, że mogą one wystąpić, audyt dzienników aplikacji Windows 10 powinien pomóc w zdiagnozowaniu problemu. Pamiętaj, że skuteczny audyt wymaga przemyślanego planu i skoncentrowania się na najważniejszych obiektach i zdarzeniach, które chcesz monitorować, aby uniknąć przeciążenia systemu nadmierną ilością danych.

Jeśli chcesz poznać inne artykuły podobne do Dziennik Audytu Windows 10: Klucz do Bezpieczeństwa Systemu, możesz odwiedzić kategorię Rachunkowość.

Go up