Аудит безопасности в современных операционных системах включает в себя распознавание, запись, хранение и анализ информации, связанной с действиями, относящимися к безопасности. 2

Некоторые события, которые могут быть проверены в операционной системе Windows для оценки уязвимости систем: 1

• Аудит событий входа в учётную запись. 1 Аудит каждого экземпляра входа в систему и выхода из системы с указанием точной даты и времени пользователей. 1
• Аудит управления учётными записями. 1 Аудит операций управления учётными записями на компьютере, таких как изменение паролей, имён пользователей учётных записей, количества пользователей и т. д.. 1
• Аудит доступа к объектам. 1 Аудит события обращения пользователя к объекту с указанным в нём списком контроля доступа к системе (файлы, папки, разделы реестра, принтеры и т. д.). 1
• Изменение политики аудита. 1 Аудит каждого инцидента, в ходе которого были изменены права пользователя, или изменения в политиках аудита, или модификации политик доверия. 1
• Отслеживание процесса аудита. 1 Проверка и отслеживание подробной информации о событиях, таких как активация программы, завершение процесса, дублирование дескрипторов и косвенный доступ к объекту. 1
• Аудит системных событий. 1 Аудит всех обновлений исправлений, установленных неизвестных подключений. 1

Фиксирование записей происходит в журнале аудита (журнале безопасности). 2 В некоторых конфигурациях операционных систем подсистема аудита помимо записи информации о зарегистрированных событиях предусматривает возможность интерактивного оповещения аудиторов об этих событиях. 3

Анализ данных аудита проводится с помощью автоматизированных средств, которые анализируют показатели функционирования системы и данные аудита в целях поиска возможных или реальных нарушений безопасности. 2