Сводка политики аудита

Файл SCWAudit.inf содержит шаблон безопасности аудита, который поставляется с мастером настройки безопасности (SCW). В файле SCWAudit.inf определяются системные списки управления доступом (SACL), обеспечивающие обнаружение случаев или попыток несанкционированного вмешательства в операционную систему. Списки SACL позволяют системе регистрировать доступ любого пользователя к любым исполняемым файлам или файлам конфигурации в структуре каталогов Windows, а также изменения в состоянии или конфигурации служб Windows. Списки SACL не требуют отслеживания файлов и каталогов, используемых главным образом для других целей, и создают минимальное количество зарегистрированных событий. Однако применение пакетов обновления, восстановление данных из резервных копий или изменение разрешений на доступ ко всему каталогу Windows или его части может привести к созданию большого количества событий.

Средство отката SCW не позволяет осуществлять откат списков SACL. Таким образом, если не требуется применять шаблон безопасности SCWAudit.inf, можно снять флажок Включить также шаблон безопасности SCWAudit.inf. SCWAudit.inf задает системные списки контроля доступа (SACL) для аудита доступа к файловой системе на странице Сводка политики аудита.

Для просмотра подробностей о системных списках управления доступом к файловой системе и реестру, определенных в SCWAudit.inf, можно открыть SCWAudit.inf из оснастки «Шаблоны безопасности». Шаблон SCWAudit.inf расположен в папке %WINDIR%\Security\Msscw\Kbs.

Также предоставляется еще один шаблон безопасности - DefaultSACLs.inf. Он позволяет повторно применить списки SACL по умолчанию в случае, если шаблон SCWAudit.inf не функционирует должным образом. При этом применяются списки SACL, установленные вместе с Windows, а не действовавшие перед применением шаблона SCWAudit.inf. Чтобы применить шаблон DefaultSACLs.inf, введите в командной строке:

secedit /configure /cfg DefaultSACLs.inf /db DefaultSACLs.sdb