Аудит доступа к журналам Windows

Есть два типа людей: одни не знают, что такое фракталы, а другие уверены, что есть два типа людей: одни не знают, что такое фракталы, а другие уверены, что есть два типа людей: одни не знают, что такое фракталы, а другие уверены, что есть…

Аудит доступа к журналам аудита. Тем, кто озадачен внедрением PCI DSS, это вполне понятно. Ну и остальным может быть интересно, кто лазит по логам. Но! Это работает только если записи о событиях собираются в централизованное место хранения. А то при компрометации системы взломщик запросто может потереть все журналы.

Тут мы настроим аудит всего доступа к журналам Windows Application, Security и System. Через PowerShell:

$AuditUser = «Everyone»
$AuditRules = «GenericAll»
$InheritType = «ContainerInherit,ObjectInherit»
$AuditType = «Success,Failure»
$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,»None»,$AuditType)

$path = «$env:SystemRoot\System32\Winevt\Logs\Application.evtx»
$ACL = Get-Acl $path
$ACL.AddAuditRule($AccessRule)
$ACL | Set-Acl $path

$path = «$env:SystemRoot\System32\Winevt\Logs\Security.evtx»
$ACL = Get-Acl $path
$ACL.AddAuditRule($AccessRule)
$ACL | Set-Acl $path

$path = «$env:SystemRoot\System32\Winevt\Logs\System.evtx»
$ACL = Get-Acl $path
$ACL.AddAuditRule($AccessRule)
$ACL | Set-Acl $path

Источник : https://t.me/informhardening

cryptoparty

Cryptography is typically bypassed, not penetrated.

Аудит доступа к журналам Windows: 2 комментария

  • 15.09.2018 в 14:57
    Permalink

    Доброго дня!
    Подскажите как применить данные правила, в PS не силён совершенно:(
    Если это все завернуть в ps1 скрипт, ругается страшно…

    Ответ

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40