none
Консоль администрирования WSUS 3.0 и логи безопасности сервера RRS feed

  • Вопрос

  • На Windows Server 2003 R2 SP2 установлен WSUS 3.0 SP2 версии 3.2.7600.226. На Win7 Pro установлена консоль администрирования, версии, идентичной версии консоли на сервере. Подключается к серверу через HTTP(80).

    На самое простое действие с помощью консоли на Win7, в журнале безопасности сервера генерируется не менее 9-10 пар событий для пользователя консоли. Нормальных. Вход пользователя, установка привилегий пользователя. Итого около 20 событий. На более сложные дейтвия, отчеты или одобрение группы обновлений событий может быть около 50-100. Итого за сеанс 200-400 и более событий. Много.

    Как я понимаю, консоль выполняет вход от имени пользователя в систему каждый раз для выполнения каждой части задания.

    Это нормальное поведение консоли управления через HTTP или можно уменьшить количество генерируемых событий настройкой?

    Если нет, посоветуйте, пожалйста, как настроить лог, чтобы для определенных пользователей туда не заносились записи. Или, может быть, есть подходящая утилита для этого.

    • Изменено Donetskiy Nikolay 17 марта 2011 г. 7:51 сделал немного лаконичнее
    12 марта 2011 г. 7:09

Ответы

  • Проверьте политики аудита. В частности, можно поместить пользователя в специальный контейнер и прилинковать к нему политику с начисто отключенным аудитом - изрядное количеств особытий из журнала исчезнет
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    • Помечено в качестве ответа Yuriy Lenchenkov 18 марта 2011 г. 9:47
    • Снята пометка об ответе Donetskiy Nikolay 18 марта 2011 г. 10:26
    • Помечено в качестве ответа Donetskiy Nikolay 21 марта 2011 г. 6:33
    16 марта 2011 г. 13:53
    Модератор
  • Собственно, тут моя вина - надо было ответить более развернуто. Итак - данное поведение в общем и целом нормальное. Единственное, что стоит сделать - проверить политики аудита на отличие от политик по умолчанию. Если не сложно, сбросьте лог безопасности на SkyDrive и дайте сюда ссылку - я хочу взгляуть на генерируемые события.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    • Помечено в качестве ответа Donetskiy Nikolay 21 марта 2011 г. 6:33
    18 марта 2011 г. 11:26
    Модератор

Все ответы

  • Проверьте политики аудита. В частности, можно поместить пользователя в специальный контейнер и прилинковать к нему политику с начисто отключенным аудитом - изрядное количеств особытий из журнала исчезнет
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    • Помечено в качестве ответа Yuriy Lenchenkov 18 марта 2011 г. 9:47
    • Снята пометка об ответе Donetskiy Nikolay 18 марта 2011 г. 10:26
    • Помечено в качестве ответа Donetskiy Nikolay 21 марта 2011 г. 6:33
    16 марта 2011 г. 13:53
    Модератор
  • Yuriy Lenchenkov, извините. Тема так и не раскрыта. Много людей пользуются консолью, но пока никто и не ответил на первый вопрос.

    Это нормальная ситуация, что консоль генерирует вход на каждую часть каждой операции, или я что-то не так делаю/это можно изменить?

     

    Vinokurov Yuriy, спасибо за ответ. Постараюсь найти другой способ, ибо создавать лишний контейнер в AD, да и отключать аудит даже для одного пользователя не хорошо все-таки. Лучше тогда вообще от удаленного варианта консоли отказаться. Да и программисты консоли SUS должны были предусмотреть такое поведение.


    18 марта 2011 г. 10:38
  • Собственно, тут моя вина - надо было ответить более развернуто. Итак - данное поведение в общем и целом нормальное. Единственное, что стоит сделать - проверить политики аудита на отличие от политик по умолчанию. Если не сложно, сбросьте лог безопасности на SkyDrive и дайте сюда ссылку - я хочу взгляуть на генерируемые события.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    • Помечено в качестве ответа Donetskiy Nikolay 21 марта 2011 г. 6:33
    18 марта 2011 г. 11:26
    Модератор
  • В общем события нормальные, для стандартной политики аудита сервера.

    Конкрено:

    1. Аудит входа в систему - успех.
    2. Аудит событий входа в систему - успех.

    Для серверов по-умолчанию - успех. Если бы было не так, я бы даже не поднимал эту тему.

    Но теперь все понятно. Спасибо.

     

    Вот сам лог.

    http://cid-ff2b41bdc6d59886.office.live.com/self.aspx/Shared/sec.evt

    21 марта 2011 г. 6:27