Поделиться через

Приложение 3. Включение ведения журнала событий целостности кода и системного аудита

  • Статья

Включение ведения журнала событий целостности кода и аудита системы

Отрывок из журнала событий целостности кода и системного аудита:

Целостность кода — это компонент режима ядра, реализующий проверку подписи драйвера. Он создает системные события, связанные с проверкой изображения и регистрируют сведения в журнале целостности кода:

  • В представлении журнала целостности кода отображаются только события ошибок проверки изображения.

  • Подробное представление журнала целостности кода показывает события для успешной проверки подписи.

В следующей процедуре показано, как включить подробное ведение журнала событий целостности кода для просмотра всех успешных событий проверки образа операционной системы и режима ядра:

Включение подробного ведения журнала событий целостности кода

Отрывок из включения журнала аудита системных событий:

Чтобы включить подробное ведение журнала, выполните следующие действия.

  1. Откройте окно командной строки с повышенными правами.

  2. Запустите Eventvwr.exe в командной строке.

  3. В папке Просмотр событий в левой области Просмотр событий разверните следующую последовательность вложенных папок:

    1. Журналы приложений и служб

    2. Microsoft

    3. Windows

  4. Разверните вложенную папку "Целостность кода" в папке Windows , чтобы отобразить его контекстное меню.

  5. Выберите Представление.

  6. Выберите "Показать журналы аналитики и отладки". Просмотр событий затем отобразит поддерев, содержащий объект Операционная папка и глаголовая папка.

  7. Щелкните правой кнопкой мыши подробные сведения и выберите пункт "Свойства " во всплывающем контекстном меню.

  8. Выберите вкладку "Общие" в диалоговом окне "Свойства", а затем выберите параметр "Включить ведение журнала" в середине страницы свойств. Это позволит подробное ведение журнала.

  9. Перезапустите компьютер, чтобы изменения вступили в силу.

Также можно включить записи системных событий, включая события проверки целостности образа кода. Эти события создаются, когда ядро Windows не загружает драйвер из-за сбоя подписи. Аналогичные события также записываются в представлении журнала операционных событий целостности кода

Включение политики аудита для создания событий аудита в системной категории для неудачных операций

Чтобы включить политику аудита безопасности для записи сбоев загрузки в журналах аудита, выполните следующие действия.

  1. Откройте окно командной строки с повышенными правами. Чтобы открыть окно командной строки с повышенными привилегиями, создайте ярлык рабочего стола для Cmd.exe, щелкните правой кнопкой мыши ярлык Cmd.exe и выберите "Запуск от имени администратора".

  2. В окне командной строки с повышенными привилегиями выполните следующую команду:

    Auditpol /set /Category:System /failure:enable

  3. Перезапустите компьютер, чтобы изменения вступили в силу.

На следующем снимке экрана показано, как использовать Auditpol для включения аудита безопасности.

Снимок экрана: окно командной строки, иллюстрирующая использование auditpol для включения аудита безопасности.