Аудит

Аудит позволяет отслеживать действия пользователя и общесистемные события (действия Windows). Во время аудита Windows 2000 по заданным указаниям записывает информацию о событиях в журнал безопасности. В журнал записываются попытки входа в систему с правильными и неправильными паролями, а также события, связанные с созданием, открытием, уничтожением файлов или других объектов. Каждая запись в журнале содер-58

жит сведения о выполненном действии; пользователе, выполнившим это действие; событии, произошедшем при этом, а также о том, было ли оно успешно.

Политика аудита. Windows 2000 записывает сведения в журнал безопасности на том компьютере, на котором это событие имело место. Используется оснастка Event Viewer («Просмотр событий») для просмотра событий, записанных Windows 2000 в журнал безопасности. Можно составлять план резервного копирования журналов для выявления долговременных тенденций - например, для определения интенсивности доступа к принтерам или файлам.

Следует решить, на каких компьютерах вести аудит, спланировать, что отслеживать на каждом компьютере: доступ к файлам и папкам; входа в систему и выхода из нее определенных пользователей; выключения и перезагрузки компьютера; изменения учетных записей пользователей и групп.

Определив, какие события проверяются необходимо решить, что будет отслеживаться: успех или неудача. Отслеживание успешных событий расскажет, как часто пользователи Windows 2000 или ее службы получают доступ к определенным файлам, принтерам и другим объектам. Это пригодится при планировании использования ресурсов. Отслеживание неудачных событий может предупредить о возможных нарушениях безопасности. Например, многочисленные неудачные попытки входа в систему с определенной учетной записью, особенно если они происходили вне обычного рабочего времени, могут означать, что некто, не имеющий прав доступа, пытается взломать систему.

При определении политики аудита следует руководствоваться следующими принципами:

  • - необходимо решить надо ли отслеживать тенденции в использовании ресурсов системы. В этом случае планируется архивация журнала событий. Данная операция позволит увидеть изменения в использовании системных ресурсов и заблаговременно увеличить их;
  • - просматривать журнал безопасности. Лучше составить расписание и регулярно просматривать этот журнал, поскольку настройка аудита сама не предупреждает о нарушениях безопасности;
  • - проверять доступ к ресурсам не пользователей группы Users («Пользователи»), а пользователей группы Everyone («Все»). Это гарантирует, что можно отследить любого, кто подсоединился к сети, а не только тех, для кого создана учетная запись.

Внедрение и настройка аудита. Настройка и администрирование аудита требует выполнения следующих условий:

  • - необходимо иметь разрешение Manager Auditing And Security Log! («Управление аудитом и журналом безопасности») для компьютера, на котором устанавливается политика аудита. По умолчанию Windows 2000 такие права присваивает группе Administrators («Администраторы»);
  • - файлы и папки должны находиться на дисках NTFS (NT file system).

Для настройки политики аудита на компьютере необходимо создать консоль ММС и добавить к ней оснастку Group Policy («Групповая политика»). В дереве консоли выбрать папку Audit Policy («Политика аудита») из узла Computer Configuration («Конфигурация компьютера»). Консоль покажет текущие параметры политики аудита на правой панели.

Изменения, сделанные в политике аудита компьютера, вступят в силу, когда произойдет одно из следующих событий:

  • 1) будет инициализировано применение политики путем набора в командной строке secedit / Refresh Policy ma-chine_policy и нажатием клавиши «Enter»;
  • 2) компьютер будет перезагружен. Windows 2000 применяет изменения, внесенные в политику аудита после перезагрузки компьютера;
  • 3) произойдет обновление политики - применение параметров политики, включая политики аудита к компьютеру. Автоматическое обновление политики происходит через равномерные настраиваемые интервалы, по умолчанию - каждые 8 часов.

Аудит доступа к файлам и папкам. Аудит для файлов и папок устанавливается на разделах NTFS. Необходимо для выбранного объекта открыть диалоговое окно свойств и на вкладке Security («Безопасность») щелкнуть кнопку Advanced («Дополнительно»). Перейти на вкладку Auditing («Аудит») и задать параметры аудита для этого объекта. Для установки аудита на принтер необходимо открыть диалоговое окно свойств для интересующего принтера.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >