Как узнать, остановлена ли служба аудита Windows?

Я ищу, чтобы найти что - то в журналах безопасности Windows, которые скажут мне, Если аудит был отключен-идея в том, что если кто-то хочет, чтобы скрыть свою деятельность, они выключат журнал аудита, делать все, что они хотят, а затем включите его снова.

Я знаю, что существует событие безопасности Windows "1100: служба регистрации событий завершила работу", что происходит обычно во время выключения, но это, кажется, не войти, если кто-то выключает его. Там также нет эквивалент для Windows Server 2003.

есть ли код события в журналах безопасности (или системных журналах), который сообщит мне, когда кто-то вручную отключил аудит?

любая помощь будет оценили.

15
задан K. Doe
31.01.2023 16:48 Количество просмотров материала 2659
Распечатать страницу

1 ответ

какой идентификатор события определяет, когда аудит отключен?

вы ищете 4719: политика аудита системы была изменена:

это событие всегда регистрируется при отключении политики аудита, независимо от параметра подкатегории "изменение политики аудита". это и несколько других событий могут помочь определить, когда кто-то пытается отключить аудит, чтобы скрыть свои следы.

4719: система политика аудита была изменена

  • политика аудита системного уровня этого компьютера был изменен - либо с помощью локальной политики безопасности, групповой политики в Active Directory или audipol команда.

  • согласно Microsoft, это событие всегда регистрируется при отключении политики аудита, независимо от "изменения политики аудита" суб-категории настройки. Это и несколько других событий могут помочь определить когда кто-то пытается отключить аудит чтобы замести следы.

  • если групповая политика использовалась для настройки политики аудита, к сожалению, в полях темы не указывается, кто фактически изменил политику. В таких случаях это событие всегда показывает локальный компьютер, как тот, кто изменена политика, так как компьютер является субъектом безопасности в который выполняется gpupdate.

  • Если auditpol был использован для настройки политики аудита будет правильно отражать пользователя в Предмет.:

теме:

идентификатор и сеанс входа пользователя, изменившего политику-всегда локальная система - см. Примечание выше.

  • код безопасности: Sid учетной записи.
  • имя учетной записи: имя Входа учетной записи.
  • домен учетной записи: домен или - в случае локальных учетных записей - имя компьютера.
  • ИД входа в систему полу-уникальный (уникальный перезагрузок) номер, идентифицирующий сеанс входа. Идентификатор входа позволяет сопоставлять назад к событию входа (4624), а также к другим событиям регистрируется в том же сеансе входа.

полный список категорий и подкатегорий события см. по ссылке ниже.

Source 4719: политика аудита системы была изменена

Читать Далее

0
отвечен DavidPostill 2023-02-02 00:36

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх