Стандартный аудит Windows

Стандартный аудит Windows — это инструмент для базового мониторинга безопасности. Он позволяет отслеживать ключевые события, такие как входы в систему, изменения учетных записей и доступ к объектам.

Настройка стандартного аудита

Стандартный аудит включается через Локальные политики безопасности или Групповые политики (GPO) в разделе Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита.

Там представлены различные категории, для каждой категории можно выбрать:

• Аудит успешных событий (Success)

• Аудит неудачных событий (Failure)

Таблица с рекомендациями

Ограничения стандартного аудита

• Стандартный аудит не предоставляет детальной информации о процессах, сетевых подключениях или активности PowerShell.

• Для обнаружения сложных атак (например, lateral movement или использование эксплойтов) стандартного аудита недостаточно.