Поставщик служб CSP политики — аудит

AccountLogon_AuditCredentialValidation

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation

Этот параметр политики позволяет выполнять аудит событий, созданных тестами проверки учетных данных для входа в учетную запись пользователя. События в этой подкатегории происходят только на компьютере, который является полномочным для этих учетных данных. Для учетных записей домена контроллер домена является полномочным. Для локальных учетных записей локальный компьютер является полномочным.

Громкость: высокий уровень на контроллерах домена.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит проверки учетных данных
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration System > Audit Policies Account > Account Logon

AccountLogon_AuditKerberosAuthenticationService

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService

Этот параметр политики позволяет выполнять аудит событий, созданных запросами на предоставление билета проверки подлинности Kerberos (TGT).

  • Если этот параметр политики настроен, событие аудита создается после запроса TGT проверки подлинности Kerberos. Успешные аудиты записывают успешные запросы, а неудачные — неудачные запросы.

  • Если этот параметр политики не настроен, после запроса TGT проверки подлинности Kerberos событие аудита не создается.

Том: высокий уровень на серверах Центра распространения ключей Kerberos.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит службы проверки подлинности Kerberos
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration System > Audit Policies Account > Account Logon

AccountLogon_AuditKerberosServiceTicketOperations

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations

Этот параметр политики позволяет выполнять аудит событий, созданных запросами на предоставление билета проверки подлинности Kerberos (TGT), отправленными для учетных записей пользователей.

  • Если этот параметр политики настроен, событие аудита создается после запроса TGT проверки подлинности Kerberos для учетной записи пользователя. Успешные аудиты записывают успешные запросы, а неудачные — неудачные запросы.

  • Если этот параметр политики не настроен, событие аудита не создается после запроса TGT проверки подлинности Kerberos для учетной записи пользователя.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит операций с билетами службы Kerberos
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration System > Audit Policies Account > Account Logon

AccountLogon_AuditOtherAccountLogonEvents

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents

Этот параметр политики позволяет выполнять аудит событий, созданных ответами на запросы учетных данных, отправленные для входа в учетную запись пользователя, которые не являются проверкой учетных данных или билетами Kerberos. В настоящее время в этой подкатегории нет событий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит других событий входа учетных записей
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration System > Audit Policies Account > Account Logon

AccountLogonLogoff_AuditAccountLockout

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout

Этот параметр политики позволяет выполнять аудит событий, созданных неудачной попыткой входа в учетную запись, которая заблокирована. При настройке этого параметра политики создается событие аудита, если учетная запись не может войти на компьютер, так как учетная запись заблокирована. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки. События входа необходимы для понимания действий пользователей и обнаружения потенциальных атак.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Off/None.
1 (по умолчанию) Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит блокировки учетных записей
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита Системы Политики > входа и выхода

AccountLogonLogoff_AuditGroupMembership

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership

Эта политика позволяет выполнять аудит сведений о членстве в группе в маркере входа пользователя. События в этой подкатегории создаются на компьютере, на котором создается сеанс входа. Для интерактивного входа на компьютере, на который вошел пользователь, создается событие аудита безопасности. Для входа в сеть, например для доступа к общей папке в сети, на компьютере, на котором размещен ресурс, создается событие аудита безопасности. Если этот параметр настроен, одно или несколько событий аудита безопасности формируются для каждого успешного входа. Также необходимо включить параметр Аудит входа в систему в разделе Конфигурация расширенной политики аудита\Политики аудита системы\Вход/Выход. Если данные о членстве в группах не помещаются в одном событии аудита безопасности, создаются несколько событий.

Громкость: низкий на клиентском компьютере. Средний на контроллере домена или сетевом сервере.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит участия в группе
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита Системы Политики > входа и выхода

AccountLogonLogoff_AuditIPsecExtendedMode

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode

Этот параметр политики позволяет выполнять аудит событий, созданных протоколом IKE и протоколом AuthIP во время согласования расширенного режима.

  • Если этот параметр политики настроен, событие аудита создается во время согласования расширенного режима IPsec. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, во время согласования расширенного режима IPsec событие аудита не создается.

Объем: высокий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит расширенного режима IPsec
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита Системы Политики > входа и выхода

AccountLogonLogoff_AuditIPsecMainMode

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode

Этот параметр политики позволяет выполнять аудит событий, созданных протоколом IKE и протоколом AuthIP во время согласования основного режима.

  • При настройке этого параметра политики во время согласования основного режима IPsec создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается во время согласования основного режима IPsec.

Объем: высокий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит основного режима IPsec
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита Системы Политики > входа и выхода

AccountLogonLogoff_AuditIPsecQuickMode

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode

Этот параметр политики позволяет выполнять аудит событий, созданных протоколом IKE и протоколом AuthIP во время согласования в быстром режиме. Если этот параметр политики настроен, во время согласования быстрого режима IPsec создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки. Если этот параметр политики не настроен, событие аудита не создается во время согласования быстрого режима IPsec.

Объем: высокий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит быстрого режима IPsec
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита Системы Политики > входа и выхода

AccountLogonLogoff_AuditLogoff

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff

Этот параметр политики позволяет выполнять аудит событий, созданных при закрытии сеанса входа. Эти события происходят на компьютере, к которому был выполнен доступ. Для интерактивного выхода на компьютер, на который вошел пользователь, создается событие аудита безопасности.

  • Если настроить этот параметр политики, при закрытии сеанса входа создается событие аудита. Успешные аудиты записывают успешные попытки закрытия сеансов, а аудит сбоя — неудачные попытки закрытия сеансов.

  • Если этот параметр политики не настроен, событие аудита не создается при закрытии сеанса входа.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Off/None.
1 (по умолчанию) Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит выхода из системы
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита Системы Политики > входа и выхода

AccountLogonLogoff_AuditLogon

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon

Этот параметр политики позволяет выполнять аудит событий, созданных попытками входа в учетную запись пользователя на компьютере. События в этой подкатегории связаны с созданием сеансов входа и происходят на компьютере, к которому был выполнен доступ. Для интерактивного входа на компьютере, на который вошел пользователь, создается событие аудита безопасности. Для входа в сеть, например для доступа к общей папке в сети, на компьютере, на котором размещен ресурс, создается событие аудита безопасности. Включаются следующие события: Успешные попытки входа. Неудачные попытки входа. Попытки входа с использованием явных учетных данных. Это событие создается, когда процесс пытается войти в учетную запись путем явного указания учетных данных этой учетной записи. Чаще всего это происходит в конфигурациях пакетного входа, таких как запланированные задачи или при использовании команды RUNAS. Идентификаторы безопасности (SID) были отфильтрованы и не разрешены для входа.

Громкость: низкий на клиентском компьютере. Средний на контроллере домена или сетевом сервере.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Off/None.
1 (по умолчанию) Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит входа в систему
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита Системы Политики > входа и выхода

AccountLogonLogoff_AuditNetworkPolicyServer

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer

Этот параметр политики позволяет выполнять аудит событий, созданных запросами на доступ пользователей RADIUS (IAS) и защиты доступа к сети (NAP). Это могут быть запросы Grant, Deny, Discard, Quarantine, Lock и Unlock.

  • При настройке этого параметра политики для каждого запроса на доступ пользователей IAS и NAP создается событие аудита. Успешные аудиты записывают успешные запросы доступа пользователей, а неудачные аудиты записывают неудачные попытки.

  • Если эти параметры политики не настроены, запросы на доступ пользователей IAS и NAP не проверяются.

Том: средний или высокий на NPS и IAS-сервере. Нет тома на других компьютерах.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 3

Допустимые значения:

Значение Описание
0 Off/None.
1 Успех.
2 Неудача.
3 (по умолчанию) Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит сервера политики сети
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита Системы Политики > входа и выхода

AccountLogonLogoff_AuditOtherLogonLogoffEvents

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents

Этот параметр политики позволяет выполнять аудит других событий, связанных с входом и выходом из системы, которые не охватываются параметром политики "Вход и выход", например отключение сеанса служб терминалов. Новые сеансы служб терминалов. Блокировка и разблокировка рабочей станции. Вызов заставки. Закрытие заставки. Обнаружение атаки на воспроизведение Kerberos, при которой запрос Kerberos был получен дважды с идентичными сведениями. Это условие может быть вызвано неправильной конфигурацией сети. Доступ к беспроводной сети, предоставленный учетной записи пользователя или компьютера. Доступ к проводной сети 802.1x, предоставленный учетной записи пользователя или компьютера.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит других событий выхода из системы входа
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита Системы Политики > входа и выхода

AccountLogonLogoff_AuditSpecialLogon

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon

Этот параметр политики позволяет выполнять аудит событий, созданных при специальных входах, например: Использование специального входа, который является входом с правами администратора и может использоваться для повышения уровня процесса на более высокий уровень. Вход члена специальной группы. Специальные группы позволяют выполнять аудит событий, созданных при входе члена определенной группы в сеть. Вы можете настроить список идентификаторов безопасности групп (SID) в реестре. Если какой-либо из этих идентификаторов безопасности добавляется в маркер во время входа в систему и подкатегория включена, событие регистрируется. Дополнительные сведения об этой функции см. в статье 947223 в базе знаний Майкрософт.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Off/None.
1 (по умолчанию) Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит специального входа
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита Системы Политики > входа и выхода

AccountLogonLogoff_AuditUserDeviceClaims

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims

Эта политика позволяет выполнять аудит сведений о утверждениях пользователя и устройства в маркере входа пользователя. События в этой подкатегории создаются на компьютере, на котором создается сеанс входа. Для интерактивного входа на компьютере, на который вошел пользователь, создается событие аудита безопасности. Для входа в сеть, например для доступа к общей папке в сети, на компьютере, на котором размещен ресурс, создается событие аудита безопасности. Утверждения пользователей добавляются в маркер входа, если утверждения включаются в атрибуты учетной записи пользователя в Active Directory. Утверждения устройства добавляются в маркер входа, если утверждения включаются в атрибуты учетной записи компьютера устройства в Active Directory. Кроме того, необходимо включить составное удостоверение для домена и на компьютере, где пользователь вошел в систему. Если этот параметр настроен, одно или несколько событий аудита безопасности формируются для каждого успешного входа. Также необходимо включить параметр Аудит входа в систему в разделе Конфигурация расширенной политики аудита\Политики аудита системы\Вход/Выход. Если сведения о утверждениях пользователя и устройства не могут поместиться в одном событии аудита безопасности, создается несколько событий.

Громкость: низкий на клиентском компьютере. Средний на контроллере домена или сетевом сервере.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит утверждений пользователей устройств
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита Системы Политики > входа и выхода

AccountManagement_AuditApplicationGroupManagement

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement

Этот параметр политики позволяет выполнять аудит событий, созданных изменениями в группах приложений, например: группа приложений создана, изменена или удалена. Участник добавляется или удаляется из группы приложений.

  • При настройке этого параметра политики при попытке изменить группу приложений создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при изменении группы приложений.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит управления группами приложений
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration System > Audit Policies Account > Management Управление учетными записями

AccountManagement_AuditComputerAccountManagement

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement

Этот параметр политики позволяет выполнять аудит событий, создаваемых изменениями учетных записей компьютеров, например при создании, изменении или удалении учетной записи компьютера.

  • При настройке этого параметра политики при попытке изменить учетную запись компьютера создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при изменении учетной записи компьютера.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит управления учетными записями компьютеров
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration System > Audit Policies Account > Management Управление учетными записями

AccountManagement_AuditDistributionGroupManagement

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement

Этот параметр политики позволяет выполнять аудит событий, созданных изменениями в группах рассылки, например: группа рассылки создана, изменена или удалена. Участник добавляется или удаляется из группы рассылки. Тип группы рассылки изменен.

  • При настройке этого параметра политики при попытке изменить группу рассылки создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при изменении группы рассылки.

Примечание.

События в этой подкатегории регистрируются только на контроллерах домена.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит управления группами распространения
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration System > Audit Policies Account > Management Управление учетными записями

AccountManagement_AuditOtherAccountManagementEvents

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents

Этот параметр политики позволяет выполнять аудит событий, созданных другими изменениями учетной записи пользователей, которые не охватываются этой категорией, например: Доступ к хэшу пароля учетной записи пользователя был получен. Обычно это происходит во время переноса пароля средства управления Active Directory. Был вызван API проверки политики паролей. Вызовы этой функции могут быть частью атаки, когда вредоносное приложение тестирует политику, чтобы уменьшить количество попыток во время атаки по словарю паролей. Изменения в групповой политике домена по умолчанию в следующих путях групповой политики: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей Конфигурация компьютера\Параметры windows\Параметры безопасности\Политики учетных записей\Политика блокировки учетных записей.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит других событий управления учетными записями
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration System > Audit Policies Account > Management Управление учетными записями

AccountManagement_AuditSecurityGroupManagement

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement

Этот параметр политики позволяет выполнять аудит событий, созданных изменениями в группах безопасности, например: группа безопасности создана, изменена или удалена. Участник добавляется или удаляется из группы безопасности. Тип группы изменен.

  • При настройке этого параметра политики при попытке изменить группу безопасности создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при изменении группы безопасности.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Off/None.
1 (по умолчанию) Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит управления группами безопасности
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration System > Audit Policies Account > Management Управление учетными записями

AccountManagement_AuditUserAccountManagement

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement

Этот параметр политики позволяет выполнять аудит изменений в учетных записях пользователей. К событиям относятся следующие: учетная запись пользователя создается, изменяется, удаляется; переименовано, отключено, включено, заблокировано или разблокировано. Пароль учетной записи пользователя задан или изменен. Идентификатор безопасности (SID) добавляется в журнал безопасности учетной записи пользователя. Настроен пароль режима восстановления служб каталогов. Разрешения для учетных записей пользователей с правами администратора изменены. Учетные данные диспетчера учетных данных создаются или восстанавливаются.

  • При настройке этого параметра политики при попытке изменить учетную запись пользователя создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при изменении учетной записи пользователя.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Off/None.
1 (по умолчанию) Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит управления учетными записями пользователей
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration System > Audit Policies Account > Management Управление учетными записями

DetailedTracking_AuditDPAPIActivity

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity

Этот параметр политики позволяет выполнять аудит событий, создаваемых при выполнении запросов шифрования или расшифровки в интерфейс приложения защиты данных (DPAPI). DPAPI используется для защиты секретных сведений, таких как сохраненные пароли и ключи. Дополнительные сведения о DPAPI см. в разделе Использование защиты данных.

  • Если этот параметр политики настроен, событие аудита создается при выполнении запроса шифрования или расшифровки в DPAPI. Успешные аудиты записывают успешные запросы, а неудачные — неудачные запросы.

  • Если этот параметр политики не настроен, событие аудита не создается при выполнении запроса шифрования или расшифровки в DPAPI.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит активности DPAPI
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies Подробное отслеживание политик > аудита системы

DetailedTracking_AuditPNPActivity

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity

Этот параметр политики позволяет выполнять аудит при обнаружении внешнего устройства в plug and play.

  • Если вы настроите этот параметр политики, событие аудита создается каждый раз, когда plug and play обнаруживает внешнее устройство. Для этой категории записываются только успешные операции аудита.

  • Если не настраивать этот параметр политики, событие аудита не создается при обнаружении внешнего устройства Plug and Play.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит активности PNP
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies Подробное отслеживание политик > аудита системы

DetailedTracking_AuditProcessCreation

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation

Этот параметр политики позволяет выполнять аудит событий, созданных при создании или запуске процесса. Также выполняется аудит имени приложения или пользователя, создавшего процесс.

  • При настройке этого параметра политики при создании процесса создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при создании процесса.

Том. Зависит от того, как используется компьютер.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит создания процессов
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies Подробное отслеживание политик > аудита системы

DetailedTracking_AuditProcessTermination

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination

Этот параметр политики позволяет выполнять аудит событий, созданных по завершении процесса.

  • Если этот параметр политики настроен, событие аудита создается по завершении процесса. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается по завершении процесса.

Том. Зависит от того, как используется компьютер.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит завершения процессов
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies Подробное отслеживание политик > аудита системы

DetailedTracking_AuditRPCEvents

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents

Этот параметр политики позволяет выполнять аудит подключений удаленного входящего вызова процедур (RPC).

  • При настройке этого параметра политики при попытке удаленного подключения RPC создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при попытке удаленного подключения RPC.

Том: высокий уровень на серверах RPC.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит событий RPC
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies Подробное отслеживание политик > аудита системы

DetailedTracking_AuditTokenRightAdjusted

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted

Этот параметр политики позволяет выполнять аудит событий, созданных путем настройки привилегий маркера.

Объем: высокий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Проверка изменений прав маркера
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies Подробное отслеживание политик > аудита системы

DSAccess_AuditDetailedDirectoryServiceReplication

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication

Этот параметр политики позволяет выполнять аудит событий, созданных подробной репликацией доменных служб Active Directory (AD DS) между контроллерами домена.

Объем: высокий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит подробной репликации службы каталогов
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита системы Доступ > к DS

DSAccess_AuditDirectoryServiceAccess

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess

Этот параметр политики позволяет выполнять аудит событий, создаваемых при доступе к объекту доменных служб Active Directory (AD DS). Регистрируются только объекты AD DS с соответствующим списком системного управления доступом (SACL). События в этой подкатегории похожи на события доступа к службе каталогов, доступные в предыдущих версиях Windows.

Громкость: высокий уровень на контроллерах домена. Нет на клиентских компьютерах.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит доступа к службе каталогов
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита системы Доступ > к DS

DSAccess_AuditDirectoryServiceChanges

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges

Этот параметр политики позволяет выполнять аудит событий, созданных изменениями объектов в доменных службах Active Directory (AD DS). События регистрируются при создании, удалении, изменении, перемещении или отмене объекта. По возможности события, зарегистрированные в этой подкатегории, указывают на старые и новые значения свойств объекта. События в этой подкатегории регистрируются только на контроллерах домена, а в AD DS регистрируются только объекты с соответствующим списком системного управления доступом (SACL).

Примечание.

Действия с некоторыми объектами и свойствами не приводят к созданию событий аудита из-за параметров класса объектов в схеме.

  • При настройке этого параметра политики при попытке изменить объект в AD DS создается событие аудита. Успешные аудиты записывают успешные попытки, однако неудачные попытки НЕ записываются.

  • Если этот параметр политики не настроен, событие аудита не создается при попытке изменить объект в объекте AD DS.

Громкость: высокая только на контроллерах домена.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит изменения службы каталогов
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита системы Доступ > к DS

DSAccess_AuditDirectoryServiceReplication

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication

Этот параметр политики позволяет выполнять аудит репликации между двумя контроллерами домена доменных служб Active Directory (AD DS).

  • Если вы настроите этот параметр политики, во время репликации AD DS создается событие аудита. Успешные аудиты записывают успешную репликацию, а неудачные аудиты записывают неудачную репликацию.

  • Если этот параметр политики не настроен, во время репликации AD DS событие аудита не создается.

Том: средний на контроллерах домена. Нет на клиентских компьютерах.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит репликации службы каталогов
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Политики аудита системы Доступ > к DS

ObjectAccess_AuditApplicationGenerated

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated

Этот параметр политики позволяет выполнять аудит приложений, которые создают события с помощью программных интерфейсов (API) аудита Windows. Приложения, предназначенные для использования API аудита Windows, используют эту подкатегорию для регистрации событий аудита, связанных с их функцией. К событиям в этой подкатегории относятся: Создание контекста клиента приложения. Удаление контекста клиента приложения. Инициализация контекста клиента приложения. Другие операции приложений с помощью API аудита Windows.

Том. Зависит от приложений, которые их создают.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит событий, создаваемых приложениями
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditCentralAccessPolicyStaging

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging

Этот параметр политики позволяет выполнять аудит запросов на доступ, если разрешение, предоставленное или запрещенное предлагаемой политикой, отличается от текущей центральной политики доступа к объекту. Если настроить этот параметр политики, событие аудита создается каждый раз, когда пользователь обращается к объекту, а разрешение, предоставляемое текущей центральной политикой доступа к объекту, отличается от разрешения, предоставленного предлагаемой политикой. Результирующее событие аудита будет создано следующим образом: 1) Успешные аудиты при настройке записывают попытки доступа, когда текущая централизованная политика доступа предоставляет доступ, но предлагаемая политика запрещает доступ. 2) Аудит сбоев при настроенных попытках доступа записывает, когда: a) Текущая центральная политика доступа не предоставляет доступ, но предлагаемая политика предоставляет доступ. b) Субъект запрашивает максимально разрешенные права доступа, а права доступа, предоставляемые текущей центральной политикой доступа, отличаются от прав доступа, предоставленных предлагаемой политикой. Том. Потенциально высокий уровень на файловом сервере, если предлагаемая политика значительно отличается от текущей центральной политики доступа.

Том. Потенциально высокий уровень на файловом сервере, если предлагаемая политика значительно отличается от текущей центральной политики доступа.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит сверки с централизованной политикой доступа
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditCertificationServices

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices

Этот параметр политики позволяет выполнять аудит операций служб сертификатов Active Directory (AD CS). Операции AD CS включают в себя следующее: запуск, завершение работы, резервное копирование и восстановление. Изменения в списке отзыва сертификатов (CRL). Новые запросы сертификатов. Выдача сертификата. Отзыв сертификата. Изменения параметров диспетчера сертификатов для AD CS. Изменения в конфигурации AD CS. Изменения в шаблоне служб сертификатов. Импорт сертификата. Публикация сертификата центра сертификации выполняется в доменных службах Active Directory. Изменения разрешений безопасности для AD CS. Архивация ключа. Импорт ключа. Получение ключа. Запуск службы ответчика по протоколу OCSP. Остановка службы ответчика протокола OCSP.

Том: средний или низкий на компьютерах со службами сертификатов Active Directory.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит служб сертификации
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditDetailedFileShare

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare

Этот параметр политики позволяет выполнять аудит попыток доступа к файлам и папкам в общей папке. Параметр Подробный файловый ресурс регистрирует событие при каждом доступе к файлу или папке, в то время как параметр файлового ресурса записывает только одно событие для любого соединения, установленного между клиентом и общей папкой. Подробные события аудита общей папки содержат подробные сведения о разрешениях или других критериях, используемых для предоставления или запрета доступа.

  • Если этот параметр политики настроен, событие аудита создается при попытке доступа к файлу или папке в общей папке. Администратор может указать, следует ли выполнять аудит только успехов, только неудач или как успешных, так и неудач.

Примечание.

Списки системного управления доступом (SACLs) для общих папок отсутствуют.

  • Если этот параметр политики включен, выполняется аудит доступа ко всем общим файлам и папкам в системе.

Том: высокий уровень на файловом сервере или контроллере домена из-за доступа к сети SYSVOL, требуемого групповой политикой.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит сведений об общем файловом ресурсе
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditFileShare

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare

Этот параметр политики позволяет выполнять аудит попыток доступа к общей папке.

  • Если этот параметр политики настроен, событие аудита создается при попытке доступа к общей папке.

  • Если этот параметр политики определен, администратор может указать, следует ли выполнять аудит только успешных, только неудачных попыток или как успешных, так и неудач.

Примечание.

Списки системного управления доступом (SACLs) для общих папок отсутствуют.

  • Если этот параметр политики включен, выполняется аудит доступа ко всем общим папкам в системе.

Том: высокий уровень на файловом сервере или контроллере домена из-за доступа к сети SYSVOL, требуемого групповой политикой.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит общего файлового ресурса
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditFileSystem

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem

Этот параметр политики позволяет выполнять аудит попыток пользователя получить доступ к объектам файловой системы. Событие аудита безопасности создается только для объектов, в которых указаны системные списки управления доступом (SACL), и только в том случае, если тип запрошенного доступа, например запись, чтение или изменение, и учетная запись, в которую выполняется запрос, соответствуют параметрам в SACL. Дополнительные сведения о включении аудита доступа к объектам см. в разделе<https://go.microsoft.com/fwlink/?LinkId=122083> .

  • При настройке этого параметра политики событие аудита создается каждый раз, когда учетная запись обращается к объекту файловой системы с соответствующим SACL. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается, когда учетная запись обращается к объекту файловой системы с соответствующим SACL.

Примечание.

Вы можете задать saCL для объекта файловой системы с помощью вкладки Безопасность в диалоговом окне Свойства этого объекта.

Том. Зависит от того, как настроены списки SACLs файловой системы.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит файловой системы
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditFilteringPlatformConnection

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection

Этот параметр политики позволяет выполнять аудит подключений, которые разрешены или заблокированы платформой фильтрации Windows (WFP). Включаются следующие события: Служба брандмауэра Windows блокирует прием приложению входящих подключений в сети. ВПП разрешает подключение. ВПП блокирует подключение. МПП разрешает привязку к локальному порту. ВПП блокирует привязку к локальному порту. ВПП разрешает подключение. ВПП блокирует подключение. ВПП позволяет приложению или службе прослушивать порт для входящих подключений. ВПП блокирует приложение или службу для прослушивания порта для входящих подключений.

  • Если вы настроите этот параметр политики, событие аудита создается, если подключения разрешены или заблокированы ПППП. Успешный аудит записывает события, созданные при разрешенных подключениях, а аудит сбоев — события, созданные при блокировке подключений.

  • Если этот параметр политики не настроен, событие аудита не создается, если подключение разрешено или заблокировано ВПП.

Объем: высокий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит подключения платформы фильтрации
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditFilteringPlatformPacketDrop

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop

Этот параметр политики позволяет выполнять аудит пакетов, отброшенных платформой фильтрации Windows (WFP).

Объем: высокий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит отбрасывания пакетов платформой фильтрации
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditHandleManipulation

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation

Этот параметр политики позволяет выполнять аудит событий, создаваемых при открытии или закрытии дескриптора объекта. Только объекты с соответствующим списком управления доступом (SACL) создают события аудита безопасности.

  • При настройке этого параметра политики при обработке дескриптора создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при управлении дескриптором.

Примечание.

События в этой подкатегории создают события только для типов объектов, в которых включена соответствующая подкатегория доступа к объектам. Например, если доступ к объектам файловой системы включен, создаются события аудита безопасности обработки. Если доступ к объектам реестра не включен, события аудита безопасности обработки не создаются.

Том. Зависит от того, как настроены списки SACLs.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит работы с дескрипторами
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditKernelObject

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject

Этот параметр политики позволяет выполнять аудит попыток доступа к ядру, включая мьютексы и семафоры. Только объекты ядра с соответствующим списком управления доступом (SACL) создают события аудита безопасности.

Примечание.

Параметр политики Аудит: аудит доступа к глобальным системным объектам управляет saCL по умолчанию для объектов ядра.

Том: высокий, если включен доступ к аудиту глобальных системных объектов.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит объектов ядра
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditOtherObjectAccessEvents

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents

Этот параметр политики позволяет выполнять аудит событий, созданных при управлении заданиями планировщика задач или объектами COM+. Для заданий планировщика выполняется аудит: Задание создано. Задание удалено. Задание включено. Задание отключено. Задание обновлено. Для объектов COM+ выполняется аудит: Добавлен объект каталога. Объект каталога обновлен. Объект каталога удален.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит других событий доступа к объектам
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditRegistry

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry

Этот параметр политики позволяет выполнять аудит попыток доступа к объектам реестра. Событие аудита безопасности создается только для объектов, в которых указаны системные списки управления доступом (SACLs), и только в том случае, если тип запрошенного доступа, например чтение, запись или изменение, и учетная запись, выполняющая запрос, соответствуют параметрам в SACL.

  • Если этот параметр политики настроен, событие аудита создается каждый раз, когда учетная запись обращается к объекту реестра с соответствующим saCL. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается, когда учетная запись обращается к объекту реестра с соответствующим SACL.

Примечание.

Вы можете задать saCL для объекта реестра с помощью диалогового окна Разрешения.

Том. Зависит от того, как настроены списки SACLs реестра.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит реестра
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditRemovableStorage

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage

Этот параметр политики позволяет выполнять аудит попыток пользователя получить доступ к объектам файловой системы на съемных запоминающих устройствах. Событие аудита безопасности создается только для всех объектов для всех типов запрошенного доступа.

  • Если настроить этот параметр политики, событие аудита создается каждый раз, когда учетная запись обращается к объекту файловой системы на съемном хранилище. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается, когда учетная запись обращается к объекту файловой системы на съемном носителе.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит съемного носителя
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

ObjectAccess_AuditSAM

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM

Этот параметр политики позволяет выполнять аудит событий, созданных при попытках доступа к объектам диспетчера учетных записей безопасности (SAM). Объекты SAM включают следующее: SAM_ALIAS — локальная группа. SAM_GROUP — группа, которая не является локальной группой. SAM_USER — учетная запись пользователя. SAM_DOMAIN — домен. SAM_SERVER — учетная запись компьютера.

  • При настройке этого параметра политики при попытке доступа к объекту ядра создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при попытке доступа к объекту ядра.

Примечание.

Изменить можно только системный список управления доступом (SACL) для SAM_SERVER. Громкость: высокий уровень на контроллерах домена.

Громкость: высокий уровень на контроллерах домена. Дополнительные сведения об уменьшении количества событий, создаваемых при аудите доступа к глобальным системным объектам, см. в разделе Аудит доступа глобальных системных объектов.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит диспетчера учетных записей безопасности
Путь Параметры > Windows Параметры > безопасности Расширенная политика аудита Конфигурация > Системные политики аудита Доступ к объекту >

PolicyChange_AuditAuthenticationPolicyChange

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange

Этот параметр политики позволяет выполнять аудит событий, созданных изменениями в политике проверки подлинности, такими как создание доверия леса и домена. Изменение отношений доверия между лесом и доменом. Удаление отношений доверия между лесом и доменом. Изменения политики Kerberos в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos. Предоставление любого из следующих прав пользователя пользователю или группе: Доступ к этому компьютеру из сети. Разрешить локальный вход. Разрешить вход через службы терминалов. Вход в качестве пакетного задания. Войдите в службу. Конфликт пространства имен. Например, если новое доверие имеет то же имя, что и имя существующего пространства имен.

  • При настройке этого параметра политики при попытке изменить политику проверки подлинности создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при изменении политики проверки подлинности.

Примечание.

Событие аудита безопасности регистрируется при применении групповой политики. Это не происходит во время изменения параметров.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Off/None.
1 (по умолчанию) Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит изменения политики проверки подлинности
Путь Параметры > Windows Параметры безопасности Расширенная > политика аудита Конфигурация > Политика > аудита Политика аудита системы Изменение политики аудита

PolicyChange_AuditAuthorizationPolicyChange

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange

Этот параметр политики позволяет выполнять аудит событий, созданных изменениями в политике авторизации, например: Назначение прав пользователя (привилегий), таких как SeCreateTokenPrivilege, которые не проверяются с помощью подкатегории "Изменение политики проверки подлинности". Удаление прав пользователя (привилегий), таких как SeCreateTokenPrivilege, которые не проверяются с помощью подкатегории "Изменение политики проверки подлинности". Изменения в политике зашифрованной файловой системы (EFS). Изменяет атрибуты ресурса объекта. Изменения в центральной политике доступа (CAP), применяемые к объекту.

  • При настройке этого параметра политики при попытке изменить политику авторизации создается событие аудита. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при изменении политики авторизации.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит изменения политики авторизации
Путь Параметры > Windows Параметры безопасности Расширенная > политика аудита Конфигурация > Политика > аудита Политика аудита системы Изменение политики аудита

PolicyChange_AuditFilteringPlatformPolicyChange

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange

Этот параметр политики позволяет выполнять аудит событий, созданных изменениями платформы фильтрации Windows (WFP), например состояние служб IPsec. Изменения параметров политики IPsec. Изменения параметров политики брандмауэра Windows. Изменения в поставщиках и подсистеме МПП.

  • Если этот параметр политики настроен, событие аудита создается при попытке изменения ВПП. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при изменении ВПП.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит изменения политики платформы фильтрации
Путь Параметры > Windows Параметры безопасности Расширенная > политика аудита Конфигурация > Политика > аудита Политика аудита системы Изменение политики аудита

PolicyChange_AuditMPSSVCRuleLevelPolicyChange

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange

Этот параметр политики позволяет выполнять аудит событий, созданных изменениями в правилах политики, используемых службой Защиты Майкрософт (MPSSVC). Эта служба используется брандмауэром Windows. К событиям относятся следующие: Отчеты об активных политиках при запуске службы брандмауэра Windows. Изменения в правилах брандмауэра Windows. Изменения в списке исключений брандмауэра Windows. Изменения параметров брандмауэра Windows. Правила, игнорируемые или не применяемые службой брандмауэра Windows. Изменения параметров групповой политики брандмауэра Windows.

  • Если этот параметр политики настроен, событие аудита создается при попытках изменить правила политики, используемые MPSSVC. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, изменения в правилах политики, используемые MPSSVC, не создаются события аудита.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит изменения политики на уровне правила MPSSVC
Путь Параметры > Windows Параметры безопасности Расширенная > политика аудита Конфигурация > Политика > аудита Политика аудита системы Изменение политики аудита

PolicyChange_AuditOtherPolicyChangeEvents

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents

Этот параметр политики позволяет выполнять аудит событий, созданных другими изменениями политики безопасности, которые не проверяются в категории изменений политики, например изменения конфигурации доверенного платформенного модуля (TPM). Самотверки шифрования в режиме ядра. Операции поставщика шифрования. Операции или изменения контекста шифрования. Изменения примененных центральных политик доступа (CAPS). Изменения данных конфигурации загрузки (BCD).

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит других событий изменения политики
Путь Параметры > Windows Параметры безопасности Расширенная > политика аудита Конфигурация > Политика > аудита Политика аудита системы Изменение политики аудита

PolicyChange_AuditPolicyChange

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange

Этот параметр политики позволяет выполнять аудит изменений в параметрах политики аудита безопасности, таких как: Параметры разрешений и параметры аудита для объекта Политики аудита. Изменения в политике аудита системы. Регистрация источников событий безопасности. Отмена регистрации источников событий безопасности. Изменения параметров аудита для каждого пользователя. Изменяется значение CrashOnAuditFail. Изменения в списке системного управления доступом в файловой системе или объекте реестра. Изменения в списке "Специальные группы".

Примечание.

Аудит изменений в списке управления доступом системы (SACL) выполняется при изменении saCL для объекта и включенной категории изменений политики. Дискреционный список управления доступом (DACL) и изменения владения проверяются, если аудит доступа к объектам включен, а saCL объекта настроен для аудита изменения DACL или владельца.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Off/None.
1 (по умолчанию) Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Изменение политики аудита
Путь Параметры > Windows Параметры безопасности Расширенная > политика аудита Конфигурация > Политика > аудита Политика аудита системы Изменение политики аудита

PrivilegeUse_AuditNonSensitivePrivilegeUse

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse

Этот параметр политики позволяет выполнять аудит событий, созданных при использовании нечувствительных привилегий (прав пользователя). Следующие привилегии не являются конфиденциальными: доступ к диспетчеру учетных данных в качестве доверенного вызывающего объекта. Доступ к этому компьютеру из сети. Добавление рабочих станций в домен. Настройте квоты памяти для процесса. Разрешить локальный вход. Разрешить вход через службы терминалов. Обход проверки обхода. Изменение системного времени. Создайте файл подкачки. Создание глобальных объектов. Создание постоянных общих объектов. Создание символьных ссылок. Запретить доступ к этому компьютеру из сети. Запрет входа в качестве пакетного задания. Запрет входа в систему как услуги. Запретить локальный вход в систему. Запрет входа через службы терминалов. Принудительное завершение работы удаленной системы. Увеличьте рабочий набор процессов. Повышение приоритета планирования. Блокировка страниц в памяти. Вход в качестве пакетного задания. Войдите в систему как услуга. Изменение метки объекта. Выполнение задач обслуживания томов. Профилирование одного процесса. Профилирование производительности системы. Удалите компьютер из док-станции. Завершите работу системы. Синхронизация данных службы каталогов.

  • При настройке этого параметра политики при вызове нечувствительной привилегии создается событие аудита. Успешный аудит записывает успешные вызовы, а аудит сбоя — неудачные вызовы.

  • Если этот параметр политики не настроен, событие аудита не создается при вызове нечувствительной привилегии.

Громкость: очень высокий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит использования привилегий, не затрагивающих конфиденциальные данные
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies > Privilege Use

PrivilegeUse_AuditOtherPrivilegeUseEvents

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents

Не используется.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит других событий использования привилегий
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies > Privilege Use

PrivilegeUse_AuditSensitivePrivilegeUse

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse

Этот параметр политики позволяет выполнять аудит событий, создаваемых при использовании конфиденциальных привилегий (прав пользователя), например: вызывается привилегированная служба. Один из следующих привилегий называется: Действовать как часть операционной системы. Создайте резервную копию файлов и каталогов. Создайте объект токена. Отладка программ. Включите доверенные учетные записи компьютеров и пользователей для делегирования. Создание аудита безопасности. Олицетворения клиента после проверки подлинности. Загрузка и выгрузка драйверов устройств. Управление аудитом и журналом безопасности. Изменение значений среды встроенного ПО. Замените маркер уровня процесса. Восстановление файлов и каталогов. Овладейте файлами или другими объектами.

  • При настройке этого параметра политики при выполнении запросов конфиденциальных привилегий создается событие аудита. Успешные аудиты записывают успешные запросы, а неудачные — неудачные запросы.

  • Если этот параметр политики не настроен, событие аудита не создается при выполнении запросов конфиденциальных привилегий.

Объем: высокий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит использования привилегий, затрагивающих конфиденциальные данные
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies > Privilege Use

System_AuditIPsecDriver

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver

Этот параметр политики позволяет выполнять аудит событий, созданных драйвером фильтра IPsec, например: Запуск и завершение работы служб IPsec. Сетевые пакеты удалены из-за сбоя проверки целостности. Сетевые пакеты удалены из-за сбоя проверки воспроизведения. Сетевые пакеты удалены из-за того, что они в виде открытого текста. Сетевые пакеты, полученные с неправильным индексом параметров безопасности (SPI). Это может указывать на то, что сетевая карта работает неправильно или драйвер необходимо обновить. Невозможность обработки фильтров IPsec.

  • Если этот параметр политики настроен, событие аудита создается для операции драйвера фильтра IPsec. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается для операции драйвера фильтра IPSec.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит драйвера IPsec
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies System >

System_AuditOtherSystemEvents

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents

Этот параметр политики позволяет выполнять аудит любого из следующих событий: Запуск и завершение работы службы брандмауэра Windows и драйвера. Политика безопасности, обрабатываемая службой брандмауэра Windows. Операции с файлом ключа шифрования и операции миграции.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 3

Допустимые значения:

Значение Описание
0 Off/None.
1 Успех.
2 Неудача.
3 (по умолчанию) Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит других системных событий
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies System >

System_AuditSecurityStateChange

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange

Этот параметр политики позволяет выполнять аудит событий, созданных изменениями в состоянии безопасности компьютера, таких как следующие события: Запуск и завершение работы компьютера. Изменение системного времени. Восстановление системы из CrashOnAuditFail, которая регистрируется после перезапуска системы, когда журнал событий безопасности заполнен и настроена запись реестра CrashOnAuditFail.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1

Допустимые значения:

Значение Описание
0 Off/None.
1 (по умолчанию) Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит изменения состояния безопасности
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies System >

System_AuditSecuritySystemExtension

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension

Этот параметр политики позволяет выполнять аудит событий, связанных с расширениями или службами системы безопасности, например: расширение системы безопасности, например проверка подлинности, уведомление или пакет безопасности, загружается и регистрируется в локальном центре безопасности (LSA). Он используется для проверки подлинности попыток входа, отправки запросов на вход и любых изменений учетных записей или паролей. Примерами расширений системы безопасности являются Kerberos и NTLM. Служба устанавливается и регистрируется в диспетчере управления службами. Журнал аудита содержит сведения об имени службы, двоичном файле, типе, типе запуска и учетной записи службы.

  • Если этот параметр политики настроен, событие аудита создается при попытке загрузить расширение системы безопасности. Успешные аудиты записывают успешные попытки, а неудачные — неудачные попытки.

  • Если этот параметр политики не настроен, событие аудита не создается при попытке загрузить расширение системы безопасности.

Громкость: низкий. События расширения системы безопасности создаются чаще на контроллере домена, чем на клиентских компьютерах или рядовом серверах.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Off/None.
1 Успех.
2 Неудача.
3 Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит расширения системы безопасности
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies System >

System_AuditSystemIntegrity

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅ Windows 10 версии 1803 с KB4516045 [10.0.17134.1039] и более поздних версий
✅ Windows 10 версии 1809 с KB4516077 [10.0.17763.774] и более поздних версий
✅ Windows 10 версии 1903 с KB4512941 [10.0.18362.329] и более поздних версий
✅ Windows 10 версии 2004 [10.0.19041] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity

Этот параметр политики позволяет выполнять аудит событий, нарушающих целостность подсистемы безопасности, например события, которые не удалось записать в журнал событий из-за проблем с системой аудита. Процесс, использующий порт локального вызова процедуры (LPC), который является недопустимым при попытке олицетворения клиента путем ответа, чтения или записи в адресное пространство клиента или из нее. Обнаружение удаленного вызова процедур (RPC), который нарушает целостность системы. Обнаружение хэш-значения исполняемого файла, который является недопустимым, как определено целостностью кода. Криптографические операции, которые подрывают целостность системы.

Громкость: низкий.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 3

Допустимые значения:

Значение Описание
0 Off/None.
1 Успех.
2 Неудача.
3 (по умолчанию) Успех и сбой.

Сопоставление групповой политики:

Имя Значение
Имя Аудит целостности системы
Путь Параметры > Windows Параметры > безопасности Advanced Audit Policy Configuration > System Audit Policies System >

Поставщик служб конфигурации политики