В течение долгих лет администраторы жаловались на недостаток гибкости политики аудита в Windows. Я давно отмечал, что невозможно устранить избыточность журнала безопасности; это задача для программы управления журналом. Компания Microsoft попыталась исправить положение в Vista и Windows Server 2008.
На смену всего лишь 9 прежним политикам пришло 50 политик аудита. Управлять аудитом можно на уровне категорий (9 первоначальных политик) или на уровне подкатегорий.
Насколько успешен новый подход? Улучшение в общем незначительное. Несколько подкатегорий можно полностью отключить, но в большинстве из них содержатся отдельные необходимые администратору события. Нельзя удалить избыточность, оперируя отдельными событиями. Например, событие с ID 672 может быть лишним или полезным, в зависимости от значений в описании события. Событие с ID 627 полезное, если относится к пользователю, который только что попытался пройти проверку подлинности, и лишнее, если стало результатом обращения компьютера к контроллеру домена для применения групповой политики. Более удобным для администраторов был бы подход, аналогичный правилам брандмауэров, для отбора событий на основе специальных критериев.
Еще одна проблема: аудитом подкатегорий нельзя управлять через групповую политику, только с помощью команды auditpol. Трудно поверить, но это так. Возможно, положение изменится в Windows Server 2008, но в Vista необходимо выполнить команду auditpol на каждом компьютере, чтобы активизировать или отключить подкатегории аудита. Подробные сведения о команде можно получить, запустив ее в виде
auditpol /h
Ниже приводится список новых подкатегорий аудита и их соответствие первоначальным 9 категориям.