- Как настроить Security Auditing в Windows, чтобы поймать подозрительные действия на компьютере
- Что именно вы хотите отслеживать?
- Как включить аудит — пошагово
- Как отслеживать доступ к конкретным файлам
- Где смотреть логи — и что искать
- Что включать — и что оставить выключенным
- Частые ошибки — и как их избежать
- Что делать в разных ситуациях
- Как лучше сделать — практические рекомендации
- Итог: что делать прямо сейчас
Как настроить Security Auditing в Windows, чтобы поймать подозрительные действия на компьютере
Если вы управляете компьютером в компании, где важна безопасность — или просто хотите понять, кто и зачем заходил в вашу систему после того, как что-то пошло не так — Security Auditing в Windows это не «надо для галочки». Это ваша система наблюдения. Без неё вы слепы. Включить её — значит поставить камеры в критичных точках. И если кто-то попытается что-то скрыть — вы это увидите в логах.
Я не говорю про «всё включить и ждать». Это как поставить 50 камер на улице, но не знать, где искать. Нужно настроить именно то, что реально важно. И я покажу, как это сделать — без лишней мудрёности, шаг за шагом.
Что именно вы хотите отслеживать?
Прежде чем лезть в групповые политики — определитесь: зачем вам это нужно?
- Вы подозреваете, что кто-то из сотрудников копирует конфиденциальные файлы?
- Ваш сервер внезапно начал медленно работать — может, кто-то запустил майнер?
- Вы увидели подозрительные входы в систему, но не знаете, с какого устройства и от чьего имени?
- Вы просто хотите быть уверены, что никто не вмешивается в систему без вашего ведома?
Ответ определяет, какие события вы будете включать. Не все логи одинаково полезны. Если вы включите всё подряд — логи заполнятся за неделю, и вы не найдёте нужное. Это как искать иголку в стоге сена, который вы сами сделали.
Как включить аудит — пошагово
Это работает только на Windows Pro, Enterprise или Server. Домашние версии не поддерживают групповые политики. Если у вас Windows 10/11 Home — вы не сможете настроить это стандартными средствами. Потому что это не «для домашнего использования».
- Нажмите Win + R, введите
gpedit.mscи нажмите Enter. Если команду не найдёт — у вас Home-версия. Пропустите этот пункт и читайте дальше — есть альтернатива. - Перейдите в: Computer Configuration → Windows Settings → Security Settings → Local Policies → Audit Policy.
- Тут вы увидите список событий. Нам нужны только три:
1. Audit Logon — отслеживает все попытки входа в систему. Включите Success и Failure. Это ключевое. Если кто-то пытается войти с неправильным паролем — вы это увидите. Если кто-то вошёл под вашим аккаунтом — вы тоже это увидите.
2. Audit Object Access — отслеживает доступ к файлам и папкам. Но тут важно: по умолчанию он не работает. Нужно дополнительно настроить аудит на конкретных файлах. Это мы сделаем позже. Пока просто включите Success и Failure.
3. Audit Privilege Use — отслеживает, когда пользователь использует привилегии, например, запускает команду от имени администратора. Включите Success и Failure. Это поможет поймать, если кто-то пытается поднять права.
Остальное — Audit Process Tracking, Audit Policy Change — включать не обязательно, если вы не админ корпоративной сети. Они создают шум. Фокусируйтесь на трёх ключевых.
Как отслеживать доступ к конкретным файлам
Включить аудит на уровне системы — это только половина дела. Вы же хотите знать, кто открыл «Договор_с_Клиентом.docx» или скопировал папку с базой данных. Для этого нужно настроить аудит на самих файлах.
Допустим, у вас есть папка C:\Documents\Confidential.
- Кликните правой кнопкой по папке → Properties.
- Перейдите на вкладку Security → нажмите Advanced.
- Внизу нажмите Enable auditing (если неактивно — включите его).
- Нажмите Add → выберите пользователя или группу (например, Everyone), чтобы отслеживать всех.
- В разделе Audit поставьте галочки:
- Successful: Read, Write, Delete
- Failed: Read, Write, Delete
- Нажмите OK — три раза, чтобы закрыть все окна.
Теперь каждый раз, когда кто-то открывает, изменяет или удаляет файл в этой папке — это попадёт в журнал событий. Без этого — даже если вы включили «Audit Object Access» в групповой политике — ничего не будет логироваться.
Где смотреть логи — и что искать
Логи идут в Event Viewer. Откройте его: Win + R → eventvwr.msc.
Перейдите в: Windows Logs → Security.
Теперь фильтруйте. Нажмите Filter Current Log в правой панели.
В поле Event IDs введите:
- 4624 — успешный вход в систему
- 4625 — неудачная попытка входа
- 4670 — изменение прав доступа к объекту (например, файлу)
- 4663 — доступ к объекту (файл, папка)
- 4672 — привилегии администратора назначены пользователю
- 4688 — запущен новый процесс (очень полезно, если подозреваете майнер)
Вот пример реальной ситуации:
Один из сотрудников ушёл в отпуск. Через неделю вы заметили, что файл с зарплатами изменился. Смотрите логи: 4663 — кто читал файл? 4688 — что запустилось в момент изменения? Оказалось — он зашёл из дома через RDP, открыл файл, скопировал его на флешку, а потом удалил копию. В логах — всё чётко: IP, время, имя пользователя. Без аудита — вы бы никогда не узнали.
Что включать — и что оставить выключенным
Не все события одинаково полезны. Вот что реально стоит включать, а что — нет.
| Событие | Event ID | Включать? | Почему |
|---|---|---|---|
| Audit Logon | 4624, 4625 | Да | Знаете, кто и когда заходил. Без этого — вы слепы. |
| Audit Object Access | 4663, 4670 | Да, но только на ключевых файлах | Включать на всё — логи взорвутся. Только на важных папках: документы, базы, конфиги. |
| Audit Privilege Use | 4672, 4674 | Да | Если кто-то поднимает права — это тревожный сигнал. Нужно знать. |
| Audit Process Tracking | 4688, 4689 | Да, если есть подозрения | Полезно, когда подозреваете запуск вредоносного ПО. Но создаёт много логов. Включайте только при необходимости. |
| Audit Policy Change | 4719, 4720 | Нет, если вы не админ | Это логи изменения самой политики аудита. Если кто-то их меняет — он пытается вас обмануть. Но это редко. Включайте только если у вас есть подозрения. |
| Audit Account Management | 4720, 4726 | Да, если есть доступ к созданию учётных записей | Если кто-то создаёт нового пользователя — это критично. Но если у вас только один админ — и он не делает это без вашего ведома — можно и не включать. |
Ключевой принцип: меньше — но точнее. Если вы включите всё — вы получите 1000 событий в день. И ничего не найдёте. Если включите только три важных — вы получите 10–20 событий в день. И сможете их проверить.
Частые ошибки — и как их избежать
- Включили аудит, но не настроили его на файлы. Это как установить камеру, но не направить её на дверь. Без настройки ACL на папке — никаких логов по доступу к файлам не будет.
- Не читаете логи регулярно. Аудит бесполезен, если вы смотрите логи раз в месяц. Подозрительные действия нужно ловить в течение 24–48 часов. После этого — можно уже не искать, потому что злоумышленник ушёл.
- Не резервируют логи. Логи в Windows хранятся по умолчанию 2–4 недели. Если злоумышленник знает это — он ждёт, пока логи перезапишутся, и уходит. Настраивайте ротацию: сохраняйте логи на сетевой диск или в SIEM-систему.
- Полагаются только на Windows. Аудит показывает, что произошло. Но не говорит, почему. Если вы видите, что кто-то запустил PowerShell с подозрительными параметрами — вам нужно ещё анализировать, что именно он сделал. Без дополнительных инструментов (например, Sysmon) вы не поймёте контекст.
- Включают аудит на домашнем компьютере без понимания последствий. Это не для «проверить, не смотрел ли жена мои фото». Это для профессионального использования. Если вы не знаете, как читать Event Viewer — не включайте. Вы только запутаетесь.
Что делать в разных ситуациях
Ситуация 1: Вы — владелец малого бизнеса, и у вас 5 компьютеров. Вы подозреваете, что кто-то копирует клиентские данные.
Делайте так: включите Audit Logon и Audit Object Access. Настройте аудит только на папке с клиентскими файлами. Смотрите логи раз в неделю. Если видите необычный вход — проверьте, с какого IP и с какого устройства. Если это не ваше устройство — смените пароли.
Ситуация 2: Вы — ИТ-специалист в компании с 50 сотрудниками. У вас есть сервер с базой данных.
Делайте так: включите все три ключевых аудита. Настройте аудит на папке с базой данных, на папке с резервными копиями, на папке с конфигами. Включите Audit Process Tracking (4688) — чтобы видеть, какие процессы запускаются на сервере. Настраивайте автоматическую отправку логов на централизованный сервер (например, через Syslog или Windows Event Forwarding). Смотрите логи каждый день.
Ситуация 3: Вы просто хотите быть уверены, что никто не заходит в ваш компьютер, когда вы не рядом.
Делайте так: включите только Audit Logon (4624, 4625). Никаких других. Настраивать аудит на файлах не нужно — вы не храните конфиденциальные данные. Просто смотрите логи раз в месяц. Если видите входы, которых не было — смените пароль и проверьте, не установлены ли подозрительные программы.
Как лучше сделать — практические рекомендации
- Начните с одного компьютера. Не пытайтесь настроить аудит на всех сразу. Выберите один — протестируйте, посмотрите, какие логи появляются, как они выглядят. Потом копируйте настройку.
- Используйте фильтры. В Event Viewer сохраняйте свои фильтры. Например, «Подозрительные входы» — фильтр по 4625 и 4624 с IP-адресами вне локальной сети.
- Сохраняйте логи. Каждую неделю копируйте файлы
C:\Windows\System32\winevt\Logs\Security.evtxна внешний диск или сетевой ресурс. Это ваша «защита от отрицания». - Узнайте, что нормально. В первый месяц после включения — просто наблюдайте. Какие входы происходят? Кто заходит в 9 утра? Кто заходит в 2 ночи? Когда вы поймёте, что нормально — вы поймёте, что ненормально.
- Не игнорируйте «Failed Logon». Один-два раза в месяц — это может быть просто опечатка. Но если вы видите 10 попыток входа за 5 минут — это брутфорс. Срочно блокируйте IP.
Итог: что делать прямо сейчас
Вы не должны ждать, пока что-то случится. Если вы подозреваете, что система может быть скомпрометирована — начните прямо сейчас.
Вот ваш чек-лист:
- Откройте
gpedit.msc(если доступно). - Включите Audit Logon, Audit Object Access, Audit Privilege Use — все с Success и Failure.
- Выберите одну критичную папку (например, с документами, базами, ключами).
- Настройте аудит доступа к ней — через свойства → Security → Advanced → Enable auditing → добавьте Everyone → Read, Write, Delete.
- Откройте
eventvwr.msc→ Security → отфильтруйте по 4624, 4625, 4663. - Проверьте, что за последние 24 часа было — и запомните, что нормально.
- Скопируйте файл
Security.evtxна внешний носитель.
Если вы сделали это — вы уже на шаг впереди 90% тех, кто использует Windows. Вы не просто «настроили аудит». Вы поставили глаза. Теперь вы видите то, что раньше было скрыто.
Проверяйте логи раз в неделю. Если ничего подозрительного — вы в порядке. Если что-то есть — вы знаете, где искать. Это не сложнее, чем проверить почту. Но гораздо важнее.
Информация в этой статье носит ознакомительный характер. Настройка аудита и анализ логов требуют понимания вашей инфраструктуры. При сомнениях — обратитесь к специалисту по информационной безопасности.
