Как настроить Security Auditing в Windows, чтобы поймать подозрительные действия на компьютере

Как настроить Security Auditing в Windows, чтобы поймать подозрительные действия на компьютере

Если вы управляете компьютером в компании, где важна безопасность — или просто хотите понять, кто и зачем заходил в вашу систему после того, как что-то пошло не так — Security Auditing в Windows это не «надо для галочки». Это ваша система наблюдения. Без неё вы слепы. Включить её — значит поставить камеры в критичных точках. И если кто-то попытается что-то скрыть — вы это увидите в логах.

Я не говорю про «всё включить и ждать». Это как поставить 50 камер на улице, но не знать, где искать. Нужно настроить именно то, что реально важно. И я покажу, как это сделать — без лишней мудрёности, шаг за шагом.

Что именно вы хотите отслеживать?

Прежде чем лезть в групповые политики — определитесь: зачем вам это нужно?

  • Вы подозреваете, что кто-то из сотрудников копирует конфиденциальные файлы?
  • Ваш сервер внезапно начал медленно работать — может, кто-то запустил майнер?
  • Вы увидели подозрительные входы в систему, но не знаете, с какого устройства и от чьего имени?
  • Вы просто хотите быть уверены, что никто не вмешивается в систему без вашего ведома?

Ответ определяет, какие события вы будете включать. Не все логи одинаково полезны. Если вы включите всё подряд — логи заполнятся за неделю, и вы не найдёте нужное. Это как искать иголку в стоге сена, который вы сами сделали.

Как включить аудит — пошагово

Это работает только на Windows Pro, Enterprise или Server. Домашние версии не поддерживают групповые политики. Если у вас Windows 10/11 Home — вы не сможете настроить это стандартными средствами. Потому что это не «для домашнего использования».

  1. Нажмите Win + R, введите gpedit.msc и нажмите Enter. Если команду не найдёт — у вас Home-версия. Пропустите этот пункт и читайте дальше — есть альтернатива.
  2. Перейдите в: Computer Configuration → Windows Settings → Security Settings → Local Policies → Audit Policy.
  3. Тут вы увидите список событий. Нам нужны только три:

1. Audit Logon — отслеживает все попытки входа в систему. Включите Success и Failure. Это ключевое. Если кто-то пытается войти с неправильным паролем — вы это увидите. Если кто-то вошёл под вашим аккаунтом — вы тоже это увидите.

2. Audit Object Access — отслеживает доступ к файлам и папкам. Но тут важно: по умолчанию он не работает. Нужно дополнительно настроить аудит на конкретных файлах. Это мы сделаем позже. Пока просто включите Success и Failure.

3. Audit Privilege Use — отслеживает, когда пользователь использует привилегии, например, запускает команду от имени администратора. Включите Success и Failure. Это поможет поймать, если кто-то пытается поднять права.

Остальное — Audit Process Tracking, Audit Policy Change — включать не обязательно, если вы не админ корпоративной сети. Они создают шум. Фокусируйтесь на трёх ключевых.

Как отслеживать доступ к конкретным файлам

Включить аудит на уровне системы — это только половина дела. Вы же хотите знать, кто открыл «Договор_с_Клиентом.docx» или скопировал папку с базой данных. Для этого нужно настроить аудит на самих файлах.

Допустим, у вас есть папка C:\Documents\Confidential.

  1. Кликните правой кнопкой по папке → Properties.
  2. Перейдите на вкладку Security → нажмите Advanced.
  3. Внизу нажмите Enable auditing (если неактивно — включите его).
  4. Нажмите Add → выберите пользователя или группу (например, Everyone), чтобы отслеживать всех.
  5. В разделе Audit поставьте галочки:
    • Successful: Read, Write, Delete
    • Failed: Read, Write, Delete
  6. Нажмите OK — три раза, чтобы закрыть все окна.

Теперь каждый раз, когда кто-то открывает, изменяет или удаляет файл в этой папке — это попадёт в журнал событий. Без этого — даже если вы включили «Audit Object Access» в групповой политике — ничего не будет логироваться.

Где смотреть логи — и что искать

Логи идут в Event Viewer. Откройте его: Win + Reventvwr.msc.

Перейдите в: Windows Logs → Security.

Теперь фильтруйте. Нажмите Filter Current Log в правой панели.

В поле Event IDs введите:

  • 4624 — успешный вход в систему
  • 4625 — неудачная попытка входа
  • 4670 — изменение прав доступа к объекту (например, файлу)
  • 4663 — доступ к объекту (файл, папка)
  • 4672 — привилегии администратора назначены пользователю
  • 4688 — запущен новый процесс (очень полезно, если подозреваете майнер)

Вот пример реальной ситуации:

Один из сотрудников ушёл в отпуск. Через неделю вы заметили, что файл с зарплатами изменился. Смотрите логи: 4663 — кто читал файл? 4688 — что запустилось в момент изменения? Оказалось — он зашёл из дома через RDP, открыл файл, скопировал его на флешку, а потом удалил копию. В логах — всё чётко: IP, время, имя пользователя. Без аудита — вы бы никогда не узнали.

Что включать — и что оставить выключенным

Не все события одинаково полезны. Вот что реально стоит включать, а что — нет.

Событие Event ID Включать? Почему
Audit Logon 4624, 4625 Да Знаете, кто и когда заходил. Без этого — вы слепы.
Audit Object Access 4663, 4670 Да, но только на ключевых файлах Включать на всё — логи взорвутся. Только на важных папках: документы, базы, конфиги.
Audit Privilege Use 4672, 4674 Да Если кто-то поднимает права — это тревожный сигнал. Нужно знать.
Audit Process Tracking 4688, 4689 Да, если есть подозрения Полезно, когда подозреваете запуск вредоносного ПО. Но создаёт много логов. Включайте только при необходимости.
Audit Policy Change 4719, 4720 Нет, если вы не админ Это логи изменения самой политики аудита. Если кто-то их меняет — он пытается вас обмануть. Но это редко. Включайте только если у вас есть подозрения.
Audit Account Management 4720, 4726 Да, если есть доступ к созданию учётных записей Если кто-то создаёт нового пользователя — это критично. Но если у вас только один админ — и он не делает это без вашего ведома — можно и не включать.

Ключевой принцип: меньше — но точнее. Если вы включите всё — вы получите 1000 событий в день. И ничего не найдёте. Если включите только три важных — вы получите 10–20 событий в день. И сможете их проверить.

Частые ошибки — и как их избежать

  1. Включили аудит, но не настроили его на файлы. Это как установить камеру, но не направить её на дверь. Без настройки ACL на папке — никаких логов по доступу к файлам не будет.
  2. Не читаете логи регулярно. Аудит бесполезен, если вы смотрите логи раз в месяц. Подозрительные действия нужно ловить в течение 24–48 часов. После этого — можно уже не искать, потому что злоумышленник ушёл.
  3. Не резервируют логи. Логи в Windows хранятся по умолчанию 2–4 недели. Если злоумышленник знает это — он ждёт, пока логи перезапишутся, и уходит. Настраивайте ротацию: сохраняйте логи на сетевой диск или в SIEM-систему.
  4. Полагаются только на Windows. Аудит показывает, что произошло. Но не говорит, почему. Если вы видите, что кто-то запустил PowerShell с подозрительными параметрами — вам нужно ещё анализировать, что именно он сделал. Без дополнительных инструментов (например, Sysmon) вы не поймёте контекст.
  5. Включают аудит на домашнем компьютере без понимания последствий. Это не для «проверить, не смотрел ли жена мои фото». Это для профессионального использования. Если вы не знаете, как читать Event Viewer — не включайте. Вы только запутаетесь.

Что делать в разных ситуациях

Ситуация 1: Вы — владелец малого бизнеса, и у вас 5 компьютеров. Вы подозреваете, что кто-то копирует клиентские данные.

Делайте так: включите Audit Logon и Audit Object Access. Настройте аудит только на папке с клиентскими файлами. Смотрите логи раз в неделю. Если видите необычный вход — проверьте, с какого IP и с какого устройства. Если это не ваше устройство — смените пароли.

Ситуация 2: Вы — ИТ-специалист в компании с 50 сотрудниками. У вас есть сервер с базой данных.

Делайте так: включите все три ключевых аудита. Настройте аудит на папке с базой данных, на папке с резервными копиями, на папке с конфигами. Включите Audit Process Tracking (4688) — чтобы видеть, какие процессы запускаются на сервере. Настраивайте автоматическую отправку логов на централизованный сервер (например, через Syslog или Windows Event Forwarding). Смотрите логи каждый день.

Ситуация 3: Вы просто хотите быть уверены, что никто не заходит в ваш компьютер, когда вы не рядом.

Делайте так: включите только Audit Logon (4624, 4625). Никаких других. Настраивать аудит на файлах не нужно — вы не храните конфиденциальные данные. Просто смотрите логи раз в месяц. Если видите входы, которых не было — смените пароль и проверьте, не установлены ли подозрительные программы.

Как лучше сделать — практические рекомендации

  • Начните с одного компьютера. Не пытайтесь настроить аудит на всех сразу. Выберите один — протестируйте, посмотрите, какие логи появляются, как они выглядят. Потом копируйте настройку.
  • Используйте фильтры. В Event Viewer сохраняйте свои фильтры. Например, «Подозрительные входы» — фильтр по 4625 и 4624 с IP-адресами вне локальной сети.
  • Сохраняйте логи. Каждую неделю копируйте файлы C:\Windows\System32\winevt\Logs\Security.evtx на внешний диск или сетевой ресурс. Это ваша «защита от отрицания».
  • Узнайте, что нормально. В первый месяц после включения — просто наблюдайте. Какие входы происходят? Кто заходит в 9 утра? Кто заходит в 2 ночи? Когда вы поймёте, что нормально — вы поймёте, что ненормально.
  • Не игнорируйте «Failed Logon». Один-два раза в месяц — это может быть просто опечатка. Но если вы видите 10 попыток входа за 5 минут — это брутфорс. Срочно блокируйте IP.

Итог: что делать прямо сейчас

Вы не должны ждать, пока что-то случится. Если вы подозреваете, что система может быть скомпрометирована — начните прямо сейчас.

Вот ваш чек-лист:

  1. Откройте gpedit.msc (если доступно).
  2. Включите Audit Logon, Audit Object Access, Audit Privilege Use — все с Success и Failure.
  3. Выберите одну критичную папку (например, с документами, базами, ключами).
  4. Настройте аудит доступа к ней — через свойства → Security → Advanced → Enable auditing → добавьте Everyone → Read, Write, Delete.
  5. Откройте eventvwr.msc → Security → отфильтруйте по 4624, 4625, 4663.
  6. Проверьте, что за последние 24 часа было — и запомните, что нормально.
  7. Скопируйте файл Security.evtx на внешний носитель.

Если вы сделали это — вы уже на шаг впереди 90% тех, кто использует Windows. Вы не просто «настроили аудит». Вы поставили глаза. Теперь вы видите то, что раньше было скрыто.

Проверяйте логи раз в неделю. Если ничего подозрительного — вы в порядке. Если что-то есть — вы знаете, где искать. Это не сложнее, чем проверить почту. Но гораздо важнее.

Информация в этой статье носит ознакомительный характер. Настройка аудита и анализ логов требуют понимания вашей инфраструктуры. При сомнениях — обратитесь к специалисту по информационной безопасности.

Оцените статью
PEFile — Безопасность и технологии простым языком