# **Настройка расширенного аудита Windows** ###### tags: `Windows расширенный аудит` ***В этой работе будем использовать машины windows в домене и использовать расширенный аудит, чтобы мониторить события, которые могут быть опасны. Для выполнения данной работы необходимо подготовить следующий стенд (в данной инструкции использовался EVE-NG).*** * Межсетевой экран (PfSense) * Свитч * Машина (или несколько машин) для имитации клиентской машины (Windows 7 в примере) * Windows сервер (для контроллера домена) * Внешние машины для различных атак **В результате у вас должен быть примерно следующий стенд.**  *Итак, начнем!* 1. **Развертывание контроллера домена на базе Windows Server 2013** Изначально, нам нужно развернуть контроллер домена для управления всеми компьютерами и пользователями внутри нашей инфраструктуры. Таким образом, мы сможем с помощью контроллера домена раздавать политику расширенного аудита на все устройства в домене. Подробную развертку домена можно найти по ссылке: https://jakondo.ru/razvorachivaem-kontroller-domena-na-baze-windows-server-2012-r2-nastrojka-sluzhb-ad-ds-dns-dhcp/ Наша задача, развернуть до момента создания DNS, его создавать не нужно. 2. Обзор параметров аудита в Windows. Итак, развернув контроллер домена, переходим в каталог пользователей и компьютеров. Он выделен на скриншоте.  Заранее создаем 2 организационных юнита с именем hackeru users и hackeru computers. Она нам нужны для раздачи политики с расширенным аудитом.  Также, можно сразу создать пользователя с обычными правами, для теста.  Переходим на машину пользователя и заводим компьютер в домен(предварительно в сетевых параметрах компьютера пропишите DNS сервером, созданный контроллер).  После перезагрузки на машину, можно войти под пользователем, который мы создали. Итак, машина, на которую будет распространятся политика аудита готова, теперь, мы можем перейти к рассмотрению политика расширенного аудита. Возвращаемся на контроллер домена, переносим в нашу OU (hackeru computer) из папки Computers(там появился наш ПК) в настройках AD Users and Computer. Затем, переходим в настройку групповых политик сделать это можно, просто введя в пуске строку **group**  В управлении групповой политике мы можем либо вносить изменения в основную политику, либо создать для расширенного аудите новую, для удобства, можно сразу щелкнуть правой кнопкой на созданную OU (hackeru computers) и создать новую GPO сразу с привязкой к данному OU. Указываем имя и как видим, политика появилась.  Щелкаем правой клавишей мыши на созданную нами политику и нажимае **Edit/Изменить**. Нас интересует расширенный аудит, он распологается по пути, который вы можете увидеть на скриншоте.  Подробное описания каждого компонента вы сможете просмотреть по ссылке: https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings Я предлагаю следующую конфигурацию для машин и серверов: **Подкатегория аудита Аудит успеха Аудит отказа** **Вход учетной записи** Аудит проверки учетных данных Да Да Аудит службы проверки подлинности Kerberos Да Да Аудит операций с билетами службы Kerberos Да Да Аудит других событий входа учетных записей Да Нет **Управление учетными записями** Аудит управления группами приложений Да Нет Аудит управления учетными записями компьютеров Да Нет Аудит управления группами распространения Да Нет Аудит других событий управления учетными записями Да Нет Аудит управления группами безопасности Да Нет Аудит управления учетными записями пользователей Да Да **Подробное отслеживание** Аудит активности DPAPI Нет Нет Аудит активности PNP Да Нет Аудит создания процессов Да Нет Аудит завершения процессов Да Нет Аудит событий RPC Нет Нет **Доступ к DS (службе каталогов)** Аудит подробной репликации службы каталогов Да Да Аудит доступа к службе каталогов Нет Да Аудит изменения службы каталогов Да Да Аудит репликации службы каталогов Нет Нет **Вход и выход из системы** Аудит блокировки учетных записей Нет Да Аудит заявок пользователей или устройств на доступ Нет Нет Аудит расширенного режима IPsec Нет Нет Аудит основного режима IPsec Нет Нет Аудит быстрого режима IPsec Нет Нет Аудит выхода из системы Да Нет Аудит входа Да Да Аудит сервера политики сети Да Да Аудит других событий входа и выхода Да Да Аудит специального входа Да Нет **Доступ к объектам** Аудит событий, создаваемых приложениями Да Да Аудит служб сертификации Нет Нет Аудит сведений об общем файловом ресурсе Да Да Аудит общего файлового ресурса Да Да Аудит файловой системы Да Да Аудит подключения платформы фильтрации Нет Да Аудит отбрасывания пакетов платформой фильтрации Нет Нет Аудит работы с дескрипторами Да Нет Аудит объектов ядра Нет Нет Аудит других событий доступа к объектам Да Да Аудит реестра Да Да Аудит съемного носителя Да Да Аудит диспетчера учетных записей безопасности Да Да Аудит сверки с централизованной политикой доступа Нет Нет **Изменение политики** Аудит изменения политики аудита Да Нет Аудит изменения политики проверки подлинности Да Нет Аудит изменения политики авторизации Да Нет Аудит изменения политики платформы фильтрации Нет Нет Аудит изменения политики на уровне правил MPSSVC Да Да Аудит других событий изменения политики Да Да **Использование привилегий** Аудит использования привилегий, не затрагивающих конфиденциальные данные Нет Нет Аудит других событий использования привилегий Нет Нет Аудит использования привилегий, затрагивающих конфиденциальные данные Нет Нет **Системные функции** Аудит драйвера IPsec Нет Нет Аудит других системных событий Да Да Аудит изменения состояния безопасности Да Нет Аудит расширения системы безопасности Да Нет Аудит целостности системы Да Да **Аудит доступа к глобальным объектам** Файловая система Нет Нет Реестр Нет Нет **Данная конфигурация, подойдет больше для контроллеров доменов, но на машинах, она также может использоваться. Вы можете принудительно применить политики, щелкнув в нужную OU правой клавишей и нажать Update, или немного подождать, пока политика примениться сама.** 3. Проверка новой политики. Итак, наши машины заведены в домен и политики созданы, осталось проверить, что все корректно отрабатывает. Для этого, открываем на контроллере домена Event Viewer(Просмотр событий). Переходим на нашу клиентскую машину, выходим из системы и несколько раз вводим пароль неверно. Затем вводим верно и заходим. После этого, на контроллере домена, у вас должно быть несколько событий о неверно введеном пароле и событие о успешном входе. Как в моем примере, 5 событий ошибок в пароле:  И затем успешный вход(где указан логин и ip, с которого произошел вход):