Matlamat kerja: Memperoleh kemahiran praktikal apabila bekerja dengan pengauditan akses kepada sumber.

Beban kerja:

Audit acara.

Pilihan audit untuk objek.

Memilih objek untuk menggunakan elemen audit.

Kesan warisan terhadap pengauditan fail dan folder.

Lihat log peristiwa.

Maklumat teori. Audit: gambaran keseluruhan

Audit– menjejaki tindakan pengguna dengan mengelog jenis acara tertentu dalam log keselamatan pelayan atau stesen kerja.

Mengaudit komputer, pengguna dan acara sistem pengendalian tertentu adalah bahagian yang diperlukan dalam pentadbiran rangkaian. Menetapkan parameter audit boleh dilakukan dalam tetingkap sifat untuk fail, folder, folder kongsi, pencetak dan objek perkhidmatan direktori Active Directory. Pengauditan membolehkan anda memantau dan merekodkan peristiwa keselamatan, seperti percubaan pengguna untuk mengakses fail dan folder yang dilindungi. Selepas anda mendayakan pengauditan, entri ditulis pada log keselamatan Windows 2000 apabila percubaan dibuat untuk mengakses objek ini. Ini mentakrifkan perkara yang sedang diaudit, aktiviti yang sedang diaudit, dan jenis aktiviti yang tepat untuk diaudit. Setelah pengauditan dipasang, anda boleh memantau akses pengguna kepada objek tertentu dan menganalisis jurang keselamatan. Rekod audit menunjukkan siapa yang melakukan apa-apa tindakan dan siapa yang cuba melakukan apa-apa tindakan yang tidak dibenarkan.

Pilih sasaran audit dan lihat log peristiwa untuk menjejaki corak penggunaan, isu keselamatan dan aliran trafik rangkaian. Tetapi tahan godaan untuk mengawal segala-galanya. Semakin banyak pengauditan peristiwa didayakan, semakin besar lognya. Menerusi log peristiwa yang besar adalah kerja keras dan akhirnya menjadi membosankan. Oleh itu, adalah penting untuk merancang dasar audit yang akan melindungi rangkaian anda tanpa meletakkan beban yang tidak wajar kepada pentadbir. Di samping itu, harus diingat bahawa setiap peristiwa yang dimasukkan dalam audit membawa kepada peningkatan beban yang tidak produktif pada sistem.

Audit acara.

Setiap peristiwa yang disertakan dalam audit sentiasa memberitahu anda sesuatu, tetapi ia bukan perkara yang anda mahukan. Sebagai contoh, mengaudit log masuk dan log keluar yang berjaya mungkin mendedahkan penggunaan kata laluan yang dicuri, atau ia mungkin hanya menyediakan halaman tidak berkesudahan yang menunjukkan pengguna yang dibenarkan dengan betul log masuk dan keluar dari sistem. Walau bagaimanapun, pengauditan log masuk yang gagal jelas berbaloi jika penggodam cuba meneka kata laluan secara rawak.

Menetapkan parameter audit hanya boleh dilakukan untuk fail dan folder yang terletak pada cakera yang menggunakan sistem fail NTFS.

peristiwa	Penerangan
Log masuk audit ke dalam sistem	Dicetuskan apabila pengawal domain menerima permintaan log masuk.
Akses audit kepada objek	Dipecat apabila objek diakses.
Audit akses perkhidmatan direktori	Diaktifkan apabila objek Active Directory diakses.
Perubahan audit ahli politik	Dicetuskan apabila pengubahsuaian dasar berlaku yang menjejaskan keselamatan, hak pengguna atau pengauditan.
guna keistimewaan	Dicetuskan apabila hak pengguna digunakan untuk melakukan operasi.
Penjejakan proses	Menyala apabila aplikasi menjalankan operasi yang penjejakan telah dimulakan.
Audit peristiwa sistem	Diaktifkan apabila komputer dimulakan semula atau dimatikan, atau peristiwa lain berlaku yang menjejaskan keselamatan sistem.
Acara log masuk audit	Diaktifkan apabila pengguna log masuk atau keluar dari sistem.
pengurusan perakaunan rekod	Diaktifkan apabila akaun pengguna atau kumpulan dibuat atau diubah suai.

Setiap log mengumpul sejumlah besar peristiwa, di mana kadangkala sukar untuk mencari peristiwa yang diperlukan. Perhatikan dahulu bahawa mengklik pada pengepala mana-mana lajur dalam konsol (snap-in) " Pemapar Acara" membolehkan anda mengisih acara dengan nilai menurun atau menaik pada lajur ini. Untuk pemilihan acara yang anda cari yang lebih tepat, gunakan alat penapisan dalam " Pemapar Acara". Jika anda membuka sifat jurnal, kemudian dalam panel yang terbuka, kecuali untuk penanda halaman" Adalah biasa", ada juga penanda buku " Penapis", yang membolehkan anda menetapkan peraturan untuk memilih acara. Mari lihat dengan teliti pada tab ini (Gamb. 16.4):

nasi. 16.4.

Anda boleh menetapkan peraturan pemilihan:

• mengikut jenis acara - pemberitahuan, amaran, kesilapan, audit kejayaan, audit kegagalan;
• mengikut sumber (contohnya, komponen sistem Pemberitahuan, pelayar, DCOM, DHCP, cakera, log peristiwa, pelayan, Sistem dan lain-lain);
• mengikut kategori (contohnya, Cakera, Shell, Pencetak, bersih, Perkhidmatan, Peranti dan lain-lain);
• oleh kod acara yang diketahui;
• dengan nama pengguna;
• dengan nama komputer;
• tetapkan tempoh masa - dari masa ke masa untuk memilih acara.

nasi. 16.7.

Audit

Menetapkan dasar audit adalah faktor penting dalam memastikan keselamatan dan integriti sistem. Setiap sistem komputer pada rangkaian mesti dikonfigurasikan untuk log peristiwa keselamatan tertentu. Dasar audit menentukan peristiwa keselamatan sistem yang dilog" Keselamatan ".

Proses audit keselamatan dikonfigurasikan menggunakan dasar kumpulan (ingat bahawa dasar kumpulan boleh ditakrifkan untuk tapak, domain atau unit organisasi, serta untuk stesen kerja atau pelayan individu). Tetapan audit keselamatan terletak dalam " Tetapan keselamatan - Dasar tempatan - Dasar Audit"mana-mana GPO.

nasi. 16.9.

Selepas menggunakan dasar, kami akan mengkonfigurasi pengauditan akses untuk objek yang diperlukan (contohnya, untuk folder Folder1 pada pelayan DC1) - buka Hartanah daripada folder ini (folder mesti diletakkan pada partition dengan sistem fail NTFS), pergi ke tab " Keselamatan", tekan butang " Selain itu"dan pergi ke penanda halaman" Audit". Mari tambah kumpulan " Pengguna domain" dan tetapkan percubaan mana yang akan dilog " Keselamatan" (contohnya, percubaan untuk memadam folder dan fail, berjaya dan tidak berjaya,

Alat yang optimum ialah dasar kumpulan (digunakan pada OU pelayan yang dipantau). Anda boleh menggunakan dasar tempatan yang serupa untuk setiap pelayan

"Tetapan Komputer\Tetapan Windows\Tetapan Keselamatan\Konfigurasi dasar audit lanjutan\dasar audit sistem\akses objek\sistem fail audit" => "acara audit: kejayaan" didayakan.

Sangat tidak mungkin anda perlu memantau percubaan yang gagal untuk mengakses fail. Saya tidak menafikan bahawa ia mungkin. Tetapi lebih kerap anda perlu mengetahui siapa yang memadam (atau memuat naik) fail tersebut.

2. Menyediakan pengauditan pada folder tertentu

Seterusnya, terus pada pelayan yang menyimpan data, menggunakan Explorer, pergi ke sifat folder yang anda ingin pantau, dayakan tetapan audit untuk kumpulan yang anda ingin pantau. Contohnya, Semua orang, jika kami ingin menjejaki sebarang perubahan oleh mana-mana pengguna dan perkhidmatan yang mungkin:

"Padam subfolder dan fail - Berjaya"

"Padam - Berjaya"

“Buat fail / tulis data - Berjaya”

“Buat folder / tambah data - Berjaya”

3. Pemantauan acara

Selepas ini, acara akan muncul dalam Log Peristiwa Keselamatan pelayan (di mana fail disimpan) apabila fail dan subdirektori dicipta dan dipadamkan daripada folder di atas.

Anda boleh menjejaki peserta tertentu dalam operasi menggunakan dua acara:

ID Acara: 4660
Perihalan: Objek telah dipadamkan.

• Memaklumkan bahawa fail telah dipadamkan.
• Mengandungi akaun orang yang melakukan operasi pemadaman
• Tidak mengandungi nama fail. Hanya ID Pemegangnya

ID Acara: 4663
Penerangan:Percubaan telah dibuat untuk mengakses objek.

• Melaporkan sebarang percubaan untuk mengakses fail.
• Mengandungi akaun orang yang melakukan operasi.
• Mengandungi ID Pemegang dan nama fail (Nama Objek)
• Topeng akses – topeng akses – menentukan untuk tujuan apa percubaan itu dibuat untuk mengakses fail

Jenis topeng akses:

Jenis akses	Hex	Penerangan
ReadData (atau ListDirectory)	0×1	ReadData membaca data daripada fail atau objek direktori. ListDirectory melihat kandungan direktori.
WriteData (atau AddFile)	0×2	TulisData menulis data ke fail. Tambah fail - mencipta fail dalam direktori.
AppendData (atau AddSubdirectory atau CreatePipeInstance)	0×4	AppendData menambahkan data pada fail. Tidak menulis ganti data sedia ada melainkan ia turut mengandungi bendera WriteData. AddSubdirectory - mencipta subdirektori.
PADAM	0×10000	Memadam objek.

Sumber maklumat utama - peristiwa 4663:

Bab Subjek mengandungi maklumat tentang akaun dari mana operasi pada objek dilakukan.

Objek– maklumat tentang fail (laluan, nama, pemegang)

Proses Maklumat mengandungi maklumat tentang proses yang menjalankan operasi pada fail.

Dalam bab Akses Maklumat Permintaan maklumat tentang jenis akses dan topeng akses disiarkan.

Pada mencipta fail dalam folder yang ditentukan, sepasang acara dengan ID muncul dalam Log Acara Keselamatan 4663 , yang pertama dengan topeng 0x2, yang kedua dengan topeng 0x4.

Pada memadam fail acara dengan ID muncul 4663 dan topeng akses 0x10000, serta acara tersebut 4660 . Anda boleh menentukan fail mana yang telah dipadamkan oleh acara 4660 dengan mencari acara sebelumnya 4663, yang mempunyai pemegang yang sama.

Untuk menganalisis log anda boleh menggunakan alat tersebut LogParser https://www.microsoft.com/en-us/download/details.aspx?id=24659 dan, sebagai contoh, permintaan ini:

LogParser.exe -i:evt "SELECT TimeGenerated, EventID, Extract_Token(Strings, 1, '|') AS User, Extract_Token(Strings, 6, '|') AS File, Extract_Token(Strings, 7, '|') AS HandleID KE 111.docx.txt DARIPADA 'C:\ \*.evtx’ WHERE (STRCNT(Strings, ‘111.docx’) >0) ORDER BY TimeGenerated DESC"

Di mana "111.docx" ialah rentetan carian dan C:\ \*.evtx – laluan ke fail log yang dimuat naik dalam format EVTX. LogParser juga memahami format lain.

Seperti yang saya katakan sebelum ini, keselamatan akaun pengguna dan kerahsiaan maklumat perniagaan anda patut dijaga hari ini. Dalam artikel sebelumnya tentang dasar keselamatan tempatan, anda mempelajari tentang teknik untuk menggunakan dasar keselamatan tempatan dan dasar akaun yang boleh anda gunakan untuk meningkatkan keselamatan akaun pengguna anda dengan ketara. Memandangkan anda mempunyai dasar keselamatan akaun yang dikonfigurasikan dengan betul, ia akan menjadi lebih sukar bagi penyerang untuk mendapatkan akses kepada akaun pengguna. Tetapi jangan lupa bahawa kerja anda untuk memastikan keselamatan infrastruktur rangkaian anda tidak berakhir di sana. Semua percubaan pencerobohan dan pengesahan gagal pengguna anda perlu direkodkan supaya anda tahu jika langkah keselamatan tambahan perlu diambil. Pengesahan maklumat sedemikian untuk menentukan aktiviti dalam perusahaan dipanggil audit.

Proses audit menggunakan tiga kawalan: dasar audit, tetapan audit pada objek, dan log "Keselamatan", di mana peristiwa berkaitan keselamatan dilog, seperti log masuk/log keluar sistem, penggunaan keistimewaan dan akses kepada sumber. Dalam artikel ini kita akan melihat dasar audit dan analisis peristiwa seterusnya dalam log "Keselamatan".

Dasar Audit

Dasar audit mengkonfigurasi sistem pengguna dan kumpulan tertentu untuk mengaudit aktiviti. Untuk mengkonfigurasi dasar audit, dalam Editor Pengurusan Dasar Kumpulan, anda mesti membuka nod Konfigurasi Komputer/Konfigurasi Windows/Tetapan Keselamatan/Dasar Tempatan/Dasar Audit. Sila ingat bahawa secara lalai tetapan dasar audit untuk stesen kerja ditetapkan kepada "Tidak ditentukan". Secara keseluruhan, anda boleh mengkonfigurasi sembilan dasar audit, yang ditunjukkan dalam ilustrasi berikut:

nasi. 1. Nod "Dasar Audit"

Sama seperti dasar keselamatan lain, untuk mengkonfigurasi pengauditan anda perlu menentukan tetapan dasar. Selepas mengklik dua kali butang tetikus kiri pada mana-mana pilihan, semak pilihan "Tentukan tetapan dasar berikut" dan nyatakan pilihan untuk mengaudit kejayaan, kegagalan, atau kedua-dua jenis peristiwa.

nasi. 2. Sifat dasar audit "Akses perkhidmatan direktori audit"

Setelah dasar audit dikonfigurasikan, peristiwa akan dilog masuk dalam log keselamatan. Anda boleh melihat peristiwa ini dalam log keselamatan. Mari kita lihat dengan lebih dekat setiap dasar audit:

Log Masuk Audit. Dasar semasa menentukan sama ada sistem pengendalian pengguna yang komputernya dasar audit ini digunakan untuk mengaudit setiap percubaan log masuk atau log keluar pengguna. Sebagai contoh, apabila pengguna berjaya log masuk ke komputer, peristiwa log masuk akaun dijana. Acara log keluar dijana setiap kali akaun pengguna log masuk tamat. Pengauditan yang berjaya bermakna mencipta rekod audit untuk setiap percubaan log masuk yang berjaya. Pengauditan kegagalan bermakna mencipta rekod audit untuk setiap percubaan log masuk yang gagal.

Audit capaian objek. Dasar keselamatan ini mengaudit percubaan akses pengguna ke objek yang tidak berkaitan dengan Active Directory. Objek tersebut termasuk fail, folder, pencetak dan kunci pendaftaran sistem, yang ditentukan oleh senarai mereka sendiri dalam senarai kawalan akses sistem (SACL). Audit dijana hanya untuk objek yang mempunyai senarai kawalan akses yang ditentukan, dengan syarat jenis akses yang diminta dan akaun yang membuat permintaan sepadan dengan tetapan dalam senarai tersebut.

Audit akses perkhidmatan direktori. Dengan dasar keselamatan ini, anda boleh menentukan sama ada peristiwa yang dinyatakan dalam senarai kawalan akses sistem (SACL), yang anda boleh edit dalam kotak dialog, akan diaudit. "Pilihan Keselamatan Lanjutan" Sifat objek Direktori Aktif. Audit dibuat hanya untuk objek yang senarai kawalan akses sistem ditentukan, dengan syarat jenis akses yang diminta dan akaun yang membuat permintaan sepadan dengan parameter dalam senarai itu. Dasar ini agak serupa dengan polisi "Audit akses objek". Pengauditan kejayaan bermakna mencipta rekod audit apabila pengguna berjaya mengakses objek Direktori Aktif yang mana SACL ditakrifkan. Pengauditan kegagalan bermakna mencipta rekod audit apabila pengguna gagal mengakses objek Active Directory yang mempunyai SACL yang ditentukan.

Audit Perubahan Dasar. Dasar audit ini menentukan sama ada sistem pengendalian mengaudit setiap percubaan untuk menukar dasar penetapan hak pengguna, audit, akaun atau amanah. Kejayaan pengauditan bermakna mencipta rekod audit apabila dasar penyerahan hak pengguna, dasar audit atau dasar amanah berjaya diubah. Pengauditan kegagalan bermakna mencipta rekod audit apabila percubaan untuk menukar dasar penyerahan hak pengguna, dasar audit atau dasar amanah gagal.

Perubahan Keistimewaan Audit. Menggunakan dasar keselamatan ini, anda boleh menentukan sama ada penggunaan keistimewaan dan hak pengguna akan diaudit. Kejayaan pengauditan bermakna mencipta rekod audit untuk setiap kejayaan penggunaan hak pengguna. Pengauditan kegagalan bermakna mencipta rekod audit untuk setiap penggunaan hak pengguna yang tidak berjaya.

Audit penjejakan proses. Dasar audit semasa menentukan sama ada sistem pengendalian mengaudit peristiwa berkaitan proses, seperti penciptaan dan penamatan proses, pengaktifan program dan akses objek tidak langsung. Pengauditan kejayaan bermakna mencipta rekod audit untuk setiap peristiwa yang berjaya yang dikaitkan dengan proses yang dipantau. Pengauditan kegagalan bermakna mencipta rekod audit untuk setiap peristiwa gagal yang dikaitkan dengan proses yang dipantau.

Audit peristiwa sistem. Dasar keselamatan ini amat berharga kerana dengan dasar ini anda boleh mengetahui sama ada komputer pengguna telah terlebih muatan, sama ada saiz log keselamatan telah melebihi ambang amaran, sama ada peristiwa yang dijejaki telah hilang disebabkan kegagalan audit dan juga sama ada perubahan telah dibuat yang boleh menjejaskan keselamatan sistem atau log masuk keselamatan dan termasuk menukar masa sistem. Pengauditan yang berjaya bermakna mencipta rekod audit untuk setiap peristiwa sistem yang berjaya. Pengauditan kegagalan bermakna mencipta rekod audit untuk setiap peristiwa sistem yang gagal.

Acara log masuk audit. Dengan dasar audit ini, anda boleh menentukan sama ada sistem pengendalian akan melaksanakan audit setiap kali komputer ini menyemak bukti kelayakan. Apabila dasar ini digunakan, peristiwa dijana untuk log masuk pengguna tempatan dan jauh. Ahli domain dan komputer bukan domain dipercayai oleh akaun setempat mereka. Apabila pengguna cuba menyambung ke folder kongsi pada pelayan, peristiwa log masuk jauh ditulis pada log keselamatan, tetapi peristiwa logoff tidak direkodkan. Pengauditan yang berjaya bermakna mencipta rekod audit untuk setiap percubaan log masuk yang berjaya. Pengauditan kegagalan bermakna mencipta rekod audit untuk setiap percubaan log masuk yang gagal.

Audit Pengurusan Akaun. Dasar terakhir ini juga dianggap sangat penting kerana ia adalah cara anda boleh menentukan sama ada setiap peristiwa Kawalan Akaun pada komputer perlu diaudit. Log keselamatan akan merekodkan aktiviti seperti mencipta, mengalih dan melumpuhkan akaun, serta menukar kata laluan dan kumpulan. Pengauditan yang berjaya bermakna mencipta rekod audit untuk setiap peristiwa pengurusan akaun yang berjaya. Pengauditan kegagalan bermakna mencipta rekod audit untuk setiap peristiwa pengurusan akaun yang gagal.

Seperti yang anda lihat, semua dasar audit sedikit sebanyak hampir serupa, dan jika anda menetapkan audit ke atas semua dasar untuk setiap pengguna dalam organisasi anda, maka lambat laun anda akan keliru dengannya. Oleh itu, adalah perlu terlebih dahulu menentukan apa sebenarnya yang diperlukan untuk audit. Contohnya, untuk memastikan bahawa salah satu akaun anda sentiasa diakses melalui tekaan kata laluan, anda boleh menentukan audit bagi percubaan log masuk yang gagal. Dalam bahagian seterusnya kita akan melihat contoh mudah menggunakan dasar ini.

Contoh penggunaan dasar audit

Katakan kita mempunyai domain testdomain.com, di mana terdapat pengguna dengan akaun DImaN.Vista. Dalam contoh ini, kami akan menggunakan dasar kepada pengguna ini dan melihat peristiwa yang ditulis pada log keselamatan apabila orang yang tidak dibenarkan cuba mengakses sistem. Untuk menghasilkan semula keadaan ini, ikuti langkah berikut:

Kesimpulan

Dalam artikel ini, kami meneruskan kajian kami tentang dasar keselamatan, iaitu, kami melihat tetapan dasar audit yang boleh anda gunakan untuk menyiasat percubaan pencerobohan dan pengesahan gagal pengguna anda. Kesemua sembilan dasar keselamatan yang bertanggungjawab untuk pengauditan dipertimbangkan. Selain itu, menggunakan contoh tersebut, anda mempelajari cara dasar audit berfungsi menggunakan dasar tersebut "Audit peristiwa log masuk". Situasi kemasukan tanpa kebenaran ke dalam komputer pengguna telah dicontohi, diikuti dengan audit log keselamatan sistem.

Hai semua!

Kami terus menerbitkan helaian tipu untuk menyediakan audit pelbagai sistem, kali terakhir kami bercakap tentang AD habrahabr.ru/company/netwrix/blog/140569, hari ini kita akan membincangkan pelayan fail. Harus dikatakan bahawa paling kerap kami melakukan tetapan audit untuk pelayan fail - semasa pemasangan perintis dengan pelanggan. Tidak ada yang rumit dalam tugas ini, hanya tiga langkah mudah:

• Sediakan pengauditan ke atas perkongsian fail
• Konfigurasikan dan gunakan dasar audit am dan terperinci
• Tukar tetapan log peristiwa

Jika anda mempunyai bilangan perkongsian fail yang banyak, akses kepada yang sering diperlukan oleh pekerja, kami mengesyorkan memantau hanya perubahan pada objek yang diaudit. Penjejakan semua peristiwa boleh mengakibatkan sejumlah besar data berlebihan dalam log yang tidak begitu penting.

Menyediakan pengauditan pada sumber fail

Menyediakan dasar audit am

Untuk memantau perubahan pada pelayan fail, anda perlu mengkonfigurasi dasar audit. Sebelum menyediakan dasar, pastikan akaun anda ialah ahli kumpulan Pentadbir atau anda mempunyai hak untuk mengurus log pengauditan dan peristiwa dalam snap-in Dasar Kumpulan.

Menyediakan dasar audit terperinci

Menyediakan log peristiwa

Untuk mengawal perubahan dengan berkesan, adalah perlu untuk mengkonfigurasi log peristiwa, iaitu, menetapkan saiz log maksimum. Jika saiznya tidak mencukupi, peristiwa mungkin ditimpa sebelum ia mencapai pangkalan data yang digunakan oleh aplikasi kawalan perubahan anda.

Akhir sekali, kami ingin menawarkan anda skrip yang kami sendiri gunakan semasa menyediakan pengauditan pada pelayan fail. Skrip mengkonfigurasi pengauditan pada semua saham untuk setiap komputer dalam OU tertentu. Dengan cara ini, anda tidak perlu mendayakan tetapan secara manual pada setiap bahagian fail.

Sebelum menjalankan skrip, anda perlu mengedit baris 19 - masukkan nilai yang diperlukan dan bukannya "nama_anda" dan "domain_anda". Skrip mesti dilaksanakan di bawah akaun yang mempunyai hak pentadbir domain.

Anda boleh mendapatkan skrip dalam pangkalan pengetahuan kami atau simpan teks berikut ke fail .ps1:

#import-module activedirectory #$path = $args; # \\fileserver\share\folder $account = "Semua orang" # $args; $flavor = "Kejayaan, Kegagalan" #$args; $flags = " ReadData, WriteData, AppendData, WriteExtendedAttributes, DeleteSubdirectoriesAndFiles, WriteAttributes, Delete, ChangePermissions, TakeOwnership " $inheritance = "ContainerInherit, ObjectInherit" $propagation = "None" $comps = "Get-ADComputer -USearch=" nama_anda_anda,DC=domain_anda,DC=domain_anda" | pilih -exp DNSHostName foreach ($comp in $comps) ( $shares = get-wmiobject -class win32_share -computername $comp -filter "type=0 DAN nama seperti "%[^$]"" | pilih -exp name foreach ( $share dalam $shares) ( $path = "\\"+$comp+"\"+$share $path $acl = (Get-Item $path).GetAccessControl("Access,Audit") $ace = new-object System.Security.AccessControl.FileSystemAuditRule($akaun, $flags, $inheritance, $propagation, $flavor) $acl.AddAuditRule($ace) set-acl -path $path -AclObject $acl ) )