Вопрос или проблема
Эти события связаны с созданием пользователя и добавлением пользователя в группу администраторов в Windows Server 2008
Они не создаются, когда я создаю пользователя или добавляю пользователя в группу, в данном случае, администратора.
Есть ли способ включить их в журнал?
Спасибо
Управление аудитом учетных записей в Локальных политиках было установлено на “Без аудита”.
Должны быть установлены галочки на успех и неудачу.
Ответ или решение
Проблема, которую вы описали, связана с отсутствием событий 4720 и 4732 в обозревателе событий Windows Server 2008. Эти события отображаются, когда в системе создается новый пользователь или когда пользователь добавляется в группу администраторов. Конкретно, событие 4720 относится к созданию учетной записи пользователя, а событие 4732 – к добавлению пользователя в группу.
Теория
События безопасности в Windows Server аккуратно фиксируются компонентом Auditing (аудитом). В данном случае, чтобы события 4720 и 4732 появились в журналах, необходимо правильно настроить аудит управления учетными записями. Эти настройки определяются в локальной политике безопасности на уровне сервера и могут быть настроены через оснастку "Локальная политика безопасности" (Local Security Policy).
В разных версиях Windows Server данная опция находилась под:
- Security Settings → Local Policies → Audit Policy → Audit account management (Настройки безопасности → Локальные политики → Политика аудита → Аудит управления учетными записями).
Основные категории событий безопасности включают следующие опции аудита:
- Успешные события (Success): фиксируют успешные изменения, такие как успешное создание нового пользователя или добавление пользователя в группу.
- Неудачные события (Failure): фиксируют попытки изменений, которые не удались.
Пример
Если политика аудита для управления учетными записями установлена на "No Auditing" (Аудит отключен), события 4720 и 4732 не фиксируются в журналах событий безопасности. Это поясняет намерение "Success and Failure should’ve been checked" — вам нужно выбрать оба параметра, чтобы увидеть оба типа событий.
Применение
Теперь рассмотрим, как вы можете изменить настройки для включения аудита, чтобы события 4720 и 4732 начали фиксироваться.
-
Открытие оснастки "Локальная политика безопасности":
- Введите
secpol.mscв командной строке или в меню "Пуск", чтобы открыть оснастку "Локальная политика безопасности".
- Введите
-
Навигация в раздел политики аудита:
- Перейдите по следующему пути: Security Settings (Настройки безопасности) → Local Policies (Локальные политики) → Audit Policy (Политика аудита).
-
Настройка параметров аудита управления учетными записями:
- Двойным щелчком откройте "Audit account management" (Аудит управления учетными записями).
- Убедитесь, что выбраны оба параметра: Success (Успешно) и Failure (Неудача).
- Нажмите OK, чтобы применить изменения.
После выполнения этих действий необходимо перезагрузить сервер, чтобы новые настройки вступили в силу.
Дополнительные рекомендации
-
Проверка обобщенных настроек групповой политики:
- Убедитесь, что групповые политики на вашем сервере не переописывают локальные настройки безопасности.
- В случае использования Active Directory, проверьте Group Policy Management на наличие конфликтующих настроек, которые могут влиять на аудит.
-
Обновление до новых версий:
- С учетом того, что Windows Server 2008 устарел и больше не поддерживается Microsoft, рассматривается обновление до более новой версии Windows Server для обеспечения лучшей безопасности и функциональности.
-
Логирование и мониторинг:
- Рассмотрите возможность использования сторонних инструментов аудита и логирования, таких как Sysmon и SolarWinds, для более детального мониторинга действий пользователей и безопасности вашей системы.
Заключение
Правильная настройка и мониторинг системных событий критичны для безопасности и управления IT-инфраструктурой. Настройка аудита управлением учетными записями поможет вам отслеживать важные изменения в системе, обеспечивая безопасность и защиту данных вашей организации.