Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Не ведется запись в журнал безопасности

Автор: AlexVlg
Дата сообщения: 14.09.2009 09:49
Всем доброго дня.

Ситуация - есть домен с порядка 200 компьютерами на WinXP. Часть машин установлены давно, часть поднималась только что. Заметил, что ни на одной из рабочих станций не ведется журнал безопасности. Точнее, он есть, но в нем только одна запись - очистка журнала безопасности (дата примерно соответствует дате установки ОС). В групповых политиках нет никаких настроек. Где еще стоит порыться?
Автор: unit7
Дата сообщения: 14.09.2009 13:55
мне кажется надо рыться в групповых политиках
посмотри gpedit.msc
в разделеконфигурация компьютера /конфигурация виндоус/параметры безопасности /локальные политики/полиика аудита ?
так же постмотри выставленный размер журналов
Автор: AlexVlg
Дата сообщения: 14.09.2009 16:11
Размер журнала вполне позволяет вносить в него записи. В групповых политиках, как я уже писал, пусто.
Зададим вопрос по-другому. А журнал безопасность вообще ведется по умолчанию? Или нужно задавать аудит событий входа/выхода, доступа к объектам и т.д.?
Автор: attaattaatta
Дата сообщения: 14.09.2009 16:36
AlexVlg

Локальные групповые политики имелись ввиду скорее всего.

Добавлено:

Цитата:
А журнал безопасность вообще ведется по умолчанию? Или нужно задавать аудит событий входа/выхода, доступа к объектам и т.д.?


Да аудит успехов и отказов, затирается по необходимости.
Автор: unit7
Дата сообщения: 14.09.2009 16:40
поумолчанию ведется
заведи новую рабочую новую станцию в домен, помести ее в юнит который ненаследует ниодну политику , посмотри как будет вестись аудит , если не помогает ковыряю дефолтную политику домена , возможно предыдущий админ ее изменил

Добавлено:
так же проверь все логон скрипты, посмотри меняется ли дата на последнем событии
Автор: Funtik_Vintik
Дата сообщения: 14.09.2009 22:17
AlexVlg
В винде никаких Reset5 не установлено ? С ним такой косяк замечен был.
Автор: AlexVlg
Дата сообщения: 15.09.2009 08:47
Unit7 - вы внимательно прочли мое сообщение? В групповых политиках ПУСТО. И в локальных тоже.

attaattaatta - О_о. Спасибо, конечно, за внимание, но к чему вы это?

Funtik_Vintik - было такое подозрение. Большинство машин установлены со сборки типа ZVER CD или еще какой-то. (Не бейте меня, я тут не при чем).
Автор: adjuster
Дата сообщения: 15.09.2009 08:58

Цитата:
В брандмауэр Windows встроен журнал безопасности, который позволяет фиксировать IP-адреса и другие данные, относящиеся к соединениям в домашних и офисной...

Таким образом могу предположить, что просто Остановлена служба Брандмауера.
Автор: unit7
Дата сообщения: 15.09.2009 10:18
что значит пусто , аудит либо стоит либо не стоит.
если не стоит то поэтому и не ведется
Автор: attaattaatta
Дата сообщения: 15.09.2009 14:19
AlexVlg

К чему что ?

Страницы: 1

Предыдущая тема: Шары открываются только по IP (не по имени)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.