Активація політики аудиту Windows

Що насправді робить політика аудиту Windows

Політика аудиту визначає, які дії, що стосуються безпеки, записуються в журнал подій безпеки. Це ваша основна хронологія для:

• успішних та невдалих входів (локальних, RDP, входів служб),
• привілейованих дій (права адміністратора, зміни політики),
• змін облікових записів та груп (нові користувачі, додані адміністратори),
• створення процесів (що виконувалося на сервері),
• доступ до об’єктів (файли/реєстр) — коли ви явно вмикаєте аудит для цільових об’єктів.

Перш ніж увімкнути все: уникайте перевантаження журналу

Поширеною помилкою є увімкнення всіх категорій аудиту, після чого важко розрізнити важливу інформацію серед шуму. Для середовищ VPS кращим підходом є:

• Спочатку увімкніть базовий рівень, що охоплює аутентифікацію та діяльність адміністраторів.
• Увімкніть доступ до об’єктів лише для критично важливих папок/ключів (інакше обсяг логів може різко зрости).
• Збільште розмір журналу безпеки та регулярно експортуйте/пересилайте журнали.

Крок 1: Перевірте поточну конфігурацію аудиту

Запустіть як адміністратор:

auditpol /get /category:*

Якщо ви керуєте сервером за допомогою GPO, пам’ятайте, що політики домену можуть замінити локальні налаштування. На автономному VPS зазвичай достатньо локальних налаштувань.

Крок 2: Віддайте перевагу розширеній політиці аудиту (детальні підкатегорії)

Сучасна Windows використовує розширену політику аудиту (десятки підкатегорій). Щоб уникнути конфліктів між «застарілими категоріями» та підкатегоріями, увімкніть політику:

• Місцева політика безпеки → Параметри безпеки → Місцеві політики → Параметри безпеки
• Аудит: Примусово застосовувати налаштування підкатегорій політики аудиту … → Увімкнено

Опціонально (автономні сервери): ви також можете застосувати це через реєстр (запустити як адміністратор) і перезавантажити:

reg add "HKLMSYSTEMCurrentControlSetControlLsa" /v SCENoApplyLegacyAuditPolicy /t REG_DWORD /d 1 /f

Крок 3: Увімкніть практичну базову конфігурацію VPS (рекомендовано)

Наступні налаштування забезпечують високий рівень безпеки та усунення несправностей без переповнення журналів. Виконайте ці команди як адміністратор:

:: Logon events (RDP/interactive/service)
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Logoff" /success:enable /failure:enable
auditpol /set /subcategory:"Special Logon" /success:enable /failure:disable

:: Account logon (Kerberos/NTLM where applicable)
auditpol /set /subcategory:"Credential Validation" /success:enable /failure:enable

:: Account management (users/groups)
auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable

:: Policy changes and privilege usage
auditpol /set /subcategory:"Audit Policy Change" /success:enable /failure:enable
auditpol /set /subcategory:"Authorization Policy Change" /success:enable /failure:enable
auditpol /set /subcategory:"Sensitive Privilege Use" /success:enable /failure:enable

:: Process creation (great for incident response)
auditpol /set /subcategory:"Process Creation" /success:enable /failure:disable

Примітка: події «Доступ до об’єкта» (файли/реєстр) вимагають двох речей: (1) увімкнення підкатегорії аудиту та (2) налаштування аудиту SACL для фактичної папки/ключа. Без SACL ви можете майже нічого не побачити, навіть якщо «Доступ до об’єкта» увімкнено.

Опціонально: аудит конкретної «чутливої» папки (файлів)

Спочатку увімкніть аудит файлової системи:

auditpol /set /subcategory:"File System" /success:enable /failure:enable

Потім налаштуйте аудит (SACL) для папки:

• Клацніть правою кнопкою миші на папці → Властивості → Безпека → Додатково → Аудит → Додати
• Виберіть суб’єкта (наприклад, «Усі» або конкретну групу), а потім виберіть події (читання/запис/видалення)

Це правильний спосіб зберегти змістовність журналів: перевіряйте лише те, що має значення.

Де шукати: найкорисніші ідентифікатори подій безпеки

• 4624 — успішний вхід
• 4625 — невдалий вхід (брутфорс, неправильний пароль, недійсний користувач)
• 4672 — спеціальні привілеї, призначені для нового входу (адміністраторські)
• 4688 — створення процесу (що було виконано)
• 4720 / 4726 — користувач створено / видалено
• 4728 / 4729 — додано/вилучено учасника з глобальної групи з увімкненою безпекою
• 4719 — змінено політику аудиту
• 1102 — журнал безпеки було очищено (високий пріоритет)

Швидкі запити за допомогою PowerShell (вирішення реальних проблем)

Показати невдалі спроби входу за останні 24 години:

$since = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=$since} |
  Select-Object TimeCreated, Id, Message |
  Select-Object -First 30

Показати події створення процесів (якщо ввімкнено) та шукати підозрілі імена виконуваних файлів:

$since = (Get-Date).AddHours(-6)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$since} |
  Where-Object { $_.Message -match 'powershell|cmd.exe|wscript|rundll32' } |
  Select-Object TimeCreated, Message |
  Select-Object -First 20

Зберігання журналів: збільште розмір і регулярно експортуйте

На серверах, підключених до Інтернету, дуже важливо зберігати журнали довше. Збільште максимальний розмір журналу безпеки (наприклад, до 256 МБ):

wevtutil sl Security /ms:268435456

Експортуйте журнал безпеки для архівування або реагування на інциденти:

mkdir C:Logs 2>nul
wevtutil epl Security C:LogsSecurity_$(Get-Date -Format yyyyMMdd_HHmm).evtx

Остаточний контрольний список для аудиту Windows VPS

• Увімкнені базові підкатегорії (вхід, управління обліковими записами, зміна політики, створення процесів).
• Розмір журналу безпеки збільшено; експорт/пересилання налаштовано.
• Аудит доступу до об’єктів лише для критичних папок/ключів реєстру (SACL налаштовано).
• Синхронізація часу правильна (журнали марні, якщо часові мітки зсуваються).

Якщо вам потрібне передбачуване середовище для цих базових рівнів безпеки, почніть з керованого Windows VPS і контролюйте площину доступу за допомогою правил брандмауера хостингу VPS та надійної аутентифікації.