Ads
Comments 23
+3

Важно понимать что настраивать политики аудита можно только на английском интерфейсе, ибо Read permission в русском языке называется "право на чтение", а должно "Чтение разрешений" или "Чтение прав". Неделю убил в свое время

+1
Кстати, в различных версиях Windows политики еще и переведены по-разному.
0
Вот поэтому я благодарен людям которые 15 лет назад сказали мне что нужно использовать только английскую винду, тогда её купить в РФ было проблемой. Учите всю молодёжь что видите использовать любой профессиональный софт а английской локализации.
+3
Тут аудит тоже не настроен. Раз так, то по идее никаких событий безопасности в журналах быть не должно
Термин «Не настроен» относится не к самому аудиту, а к политике. Если политикой не задано конкретное значение, то действует значение по умолчанию. Это важно понимать.
-3
По логике вещей значения по умолчанию должны быть отображены в интерфейсе в виде предустановленный данных.
+1
Сущность «политика» существует безотносительно предустановленных данных, и даже безотносительно операционной системы. Одна и та же политика может применяться к разным ЭВМ, операционным системам, также она может переопределять другую политику. Понятие «значение по умолчанию» в общем случае к ней неприменимо.
-4
Кто бы еще рассказал, почему встроенный брендмауэр такой убогий: если удалить все правила блокировок, то соединения из локальной сети блокируются. Если создать правило разрешать *, то соединения не блокируются.
-1
А где в брендмауэре об этом написано? Открываешь разрешенные соединения — allow all, открываешь запрещенные — disallow none.
Как обычный пользователь на LAN party должен понять, что по-умолчанию в обход всей этой системы что-то еще блокируется? Или для того, чтобы поиграть по сети нужно теперь получать MIcrosoft Server Installer Platinum Ultra Certified?
+1
Ниже выпадашки «Состояние брэндмауэра» есть переключатели «Входящие подключения: Блокировать (по умолчанию)» и «Исходящие подключения: Разрешить (по умолчанию)».
-3
Это все было выставлено как на картинке. Все равно до создания правила allow: * ничего не работало.
+1

Что именно не работало? Исходящие подключения или входящие? Если второе — то ничего удивительного в этом нет.

0

Так, сформулирую вопрос по-другому. Вы правило allow: * куда писали? Во входящие или в исходящие?

+1

Почему-то мне всё равно кажется, что необходимым было только первое правило.


И для того, чтобы понять его необходимость, достаточно внимательно прочитать то, что написано на скриншоте.

+1

В случае получения злоумышленником полного доступа к ОС, врят ли можно будет провести расследование основываясь на локальных логах системы. Обычно существует централизованная система сбора и анализа логов. В этом случае получаем все плюсы автоматизации. "Анализ поведения" через логи. Выявление на раннем этапе всех действий злоумышленников. И т.п. Надо понимать что локальные логи в windows это только кирпичик в построении системы безопасности.

+1
Любая централизованная система сбора логов, взять хотя бы тот же ELK, использует локальные логи, как источник информации.

По большому счету, тут, в качестве примера, и была рассмотрена ситуация, когда злоумышленники противостоят централизованному сбору. Если централизованного сбора и анализа нет, то и противодействовать никому не надо, все равно никто эти логи смотреть не будет.
0
Это вы еще не знаете про «чудеса» виндового коллектора.
А так да, согласен с автором вся эта подсистема логирования — историческое нагромождение говнокода в угоду обратной совместимости.
0
Спасибо за статью! Было бы ещё интереснее, если бы в качестве примеров были рассмотрены машины в домене и с GPO, а не с локальными политиками. Все-таки, если строим систему безопасности, централизованное управление политиками — один из первых шагов.
0
Почти все проблемы, описанные в статье актуальны и для доменного варианта. Локальный вариант здесь рассмотрен в основном для наглядности.
0
С этим согласен, однако параметры из GPO не хранятся в указанном ключе реестра, вывод auditpol из примера 1 на доменной машине состоянием по-умолчанию после ввода в домен по крайней мере у меня отличается и т.д.

В любом случае, всего не опишешь, куда копать — из статьи понятно, так что статья — хороший инструмент для погружения в тематику.
Only those users with full accounts are able to leave comments.  , please.