В журнале событий безопасности часто регистрируются события с кодами 560 и 562

Переводы статьи Переводы статьи
Код статьи: 841001 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

После настройки групповой политики или локальной политики безопасности для выполнения аудита доступа к объектам в журнале событий безопасности регистрируется много событий, подобных следующим:

Источник события: Безопасность
Категория события: Доступ к объекту
Код события: 560
Дата: дата
Время: время
Тип: Успех
Пользователь: EXAMPLE\имя_пользователя
Компьютер: имя_компьютера
Описание:
Открытие объекта:
Сервер объекта: Безопасность
Тип объекта: Тип_объекта
Имя объекта: Тип_объекта
Код дескриптора: 104
Код операции: {0,252360}
Код процесса: 1156
Основной пользователь: имя_пользователя
Домен: Пример
Код входа: (код_входа)
Пользователь-клиент:
Домен клиента:
Код входа клиента:
Доступ:
<Список доступов>
Привилегии



Источник события: Безопасность
Категория события: Доступ к объекту
Код события: 562
Дата: дата
Время: время
Тип: Успех
Пользователь: EXAMPLE\имя_пользователя
Компьютер: имя_компьютера
Описание:
Закрытие дескриптора:
Сервер объекта: Безопасность
Код дескриптора: 104
Код процесса: 1156


Данные события регистрируются в том случае, если на объекте, аудит которого выполняется, не был настроен список управления доступом системы безопасности (Security access control list, SACL). Эти события появляются также в том случае, если список SACL настроен, но не для всех видов доступа, представленных в списке. Например, эти события регистрируются в том случае, когда пользователь или программа считывают раздел реестра, а для элемента аудита этого раздела реестра не установлен флажок в поле Контроль чтения или Запрос значения.

Примечание. Дополнительные сведения о настройке аудита см. в разделе «Дополнительная информация».

Причина

Данная проблема возникает по одной из следующих причин:
  • Активирована настройка локальной политики безопасности Аудит доступа к глобальным объектам системы. Активирование этой настройки приводит к созданию множества событий аудита. Как правило, эти события являются исходными событиями безопасности с кодом 560, типом объектов в которых является событие, объект-мутант, процесс, раздел, семафор, поток или маркер. Эти события представляют интерес только для разработчиков систем. Как правило, настройка локальной политики безопасности Аудит доступа к глобальным объектам системы не активирована.
  • Активирован аудит на контроллере домена. При активировании аудита на контроллере домена создаются события аудита, как правило, содержащие ссылки на следующие типы объектов:
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    Эти события указывают на то, что объекты диспетчера учетных записей безопасности (Security Accounts Manager, SAM) содержат списки управления доступом системы безопасности (SACL), а также на высокую активность SAM. Как правило, эти события происходят только на контроллере домена.
  • Используется приложение, которое открывает объекты аудита слишком часто или с более широкими полномочиями доступа, чем требуется приложению. Например, приложение может запрашивать полный доступ, когда ему требуется только доступ для чтения. Если наблюдается такое поведение, могут создаваться события, в которых указанный процесс всегда является одним и тем же приложением.

Решение

Для решения этой проблемы воспользуйтесь одним из описанных ниже способов:

Способ 1

Отключите настройку локальной политики безопасности Аудит доступа к глобальным объектам системы, если она была ранее активирована. Для этого выполните следующие действия:
  1. Выберите в меню Пуск пункт Выполнить, введите команду gpedit.msc и нажмите кнопку .
  2. Найдите следующий параметр:
    Корневой каталог консоли\Политика «Локальный компьютер»\Конфигурация Windows\Параметры безопасности\Локальные политики
  3. Дважды щелкните политику Аудит доступа к глобальным объектам системы, выберите Отключить в разделе Локальная политика и нажмите кнопку OK.
  4. В меню Консоль выберите меню Выход и перезагрузите компьютер.

Способ 2

Если был активирован аудит на контроллере домена, воспользуйтесь оснасткой редактирования ADSI Edit для удаления элементов аудита из списка SACL для объекта SAM. Для этого выполните следующие действия.

Примечание. Оснастка редактирования ADSI хранится в папке Support на установочном компакт-диске Windows 2000.

Предупреждение. Неправильное изменение атрибутов объектов Active Directory с помощью оснастки редактирования ADSI, средства LDP или любого другого клиента LDAP версии 3 может привести к возникновению серьезных неполадок. В некоторых случаях их устранение связано с переустановкой Windows 2000 Server, Windows Server 2003, Exchange 2000 Server, Exchange Server 2003 или операционной системы Windows одновременно с сервером Exchange. Корпорация Майкрософт не гарантирует устранения неполадок, являющихся результатом неправильного изменения атрибутов объектов службы каталогов Active Directory. Ответственность за результаты произведенных действий несет пользователь.
  1. Войдите в систему на контроллере домена, используя учетную запись с правами администратора домена.
  2. Выберите в меню Пуск пункт Выполнить, введите команду adsiedit.msc и нажмите кнопку .
  3. В консоли редактирования ADSI щелкните правой кнопкой мыши ADSI Edit и выберите команду Подключиться к.
  4. Убедитесь, что в диалоговом окне Подключение выбран параметр Отличительное имя, и введите следующую команду в поле Отличительное имя:
    CN=Server,CN=System,DC=имя_домена,DC=расширение_домена«заменитель» на всех этапах.
  5. Выберите параметр По умолчанию (Домен или сервер, на который выполнен вход) и нажмите кнопку OK.
  6. В консоли редактирования ADSI щелкните правой кнопкой мыши папку CN=Server,CN=System,DC=имя_домена,DC=расширение_домена и выберите команду Свойства.
  7. В диалоговом окне CN=Server,CN=System,DC=имя_домена,DC=расширение_домена Свойства выберите вкладку Безопасность.
  8. Щелкните Advanced и выберите вкладку Troubleshooting.
  9. Снимите флажок Переносить наследуемые от родительского объекта элементы аудита на этот объект.
  10. Нажмите кнопку Remove в сообщении со следующим запросом.

    Таким образом, наследуемые элементы аудита не будут переноситься на этот объект. Какое действие следует выполнять?
  11. Нажмите кнопку OK дважды, чтобы сохранить измененные настройки и закройте диалоговое окно CN=Server,CN=System,DC=имя_домена,DC=расширение_домена Свойства.

Способ 3

Настройте клиентское приложение таким образом, чтобы оно открывало аудируемые объекты только в соответствии с установленными требованиями. Например, настройте клиентское приложение таким образом, чтобы оно запрашивало доступ с минимально необходимым разрешением. Если клиентскому предложению требуется только доступ для чтения, присвойте ему только этот вид доступа. В таком случае полный доступ не требуется.

Дополнительная информация

Аудит в Windows 2000 осуществляется на основе доступа, запрашиваемого пользователем или программой. Если пользователь или программа пытаются получить доступ к объекту, используя учетную запись с уровнем доступа, который подлежит аудиту, Windows создает соответствующие события аудита. Например, если программа имеет разрешение доступа к объекту для записи и настроен аудит событий записи, при попытке доступа этой программой к объекту создается событие аудита записи. Это происходит даже в том случае, если программа не выполняет операцию записи в раздел реестра. В приведенном выше сценарии событие аудита создается уже только потому, что у программы есть возможность выполнять запись в объект.

Данный метод аудита осуществляется Windows с целью обеспечения соответствия стандартам сертификации «Common Criteria», а также предыдущим стандартам сертификации «C2». Дополнительные сведения о требованиях аудита в соответствии со стандартом «C2» см. в Руководстве по аудиту в проверенных системах. Это руководство можно найти на веб-узле корпорации Майкрософт по следующему адресу:
http://www.fas.org/irp/nsa/rainbow/tg001.htm
В разделе 6.1.1 «Аудируемые события» данного руководства содержится описание следующих двух событий:
  • Введение объектов в адресное пространство пользователя
  • Удаление объектов из адресного пространства пользователя
В Windows событие с кодом 560 соответствует первому событию, а событие с кодом 562 – второму.

Дополнительные сведения о стандартах сертификации «Common Criteria» см. на веб-узле корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/windows2000/techinfo/planning/commoncriteria.asp
Дополнительные сведения об аудите разделов реестра см. в следующей статье базы знаний Майкрософт:
315416 Использование групповой политики для аудита разделов реестра в Windows 2000 (эта ссылка может указывать на содержимое полностью или частично на английском языке.)
Дополнительные сведения см. в следующих статьях базы знаний Майкрософт:
816915 Новая схема присвоения имен пакетам обновлений программного обеспечения Microsoft Windows
824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
Контактные данные независимых производителей предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних производителей.

Свойства

Код статьи: 841001 - Последний отзыв: 10 марта 2006 г. - Revision: 2.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
  • Операционная система Microsoft Windows 2000 Professional
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
Ключевые слова: 
kbbug kbfix kbqfe kbenv kbeventlog kbprb kbwin2000presp5fix KB841001

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com