Иллюстрированный самоучитель по автоматической установке Windows XP

Ведение журналов аудита

Для отслеживания изменений, вносимых в настройки брандмауэра Windows, и определения приложений и служб, обращающихся к ОС Windows XP для прослушивания портов, Вы можете включить аудит и затем просматривать события аудита в журнале безопасности.

Чтобы активировать ведение журнала аудита на компьютере под управлением Windows XP SP2, сделайте следующее:

  1. Выполните вход в систему с учетными данными администратора компьютера.
  2. Из меню Пуск (Start) перейдите в Панель управления (Control Panel), выберите Производительность и обслуживание (Performance and Maintenance), а затем нажмите Администрирование (Administrative Tools).
  3. В окне Администрирование (Administrative tools), дважды щелкните по ярлыку Локальная политика безопасности (Local Security Policy).
  4. В дереве консоли оснастки Параметры безопасности(Local Security Settins) выберите Локальные политики (Local Policies), затем Политика Аудита (Audit Policy).
  5. В правой панели оснастки Параметры безопасности (Local Security Settings), дважды щелкните Аудит изменения политики (Audit policy change). Отметьте поля Успех (Success) и Отказ(Failure) и нажмите ОК.
  6. В правой панели оснастки Параметры безопасности (Local Security Settings), дважды щелкните Аудит отслеживания процессов (Audit process tracking). Отметьте поля Успех(Success) и Отказ(Failure) и нажмите ОК.
  7. Закройте оснастку Параметры безопасности (Local Security Settins).

Вы также можете включить аудит для нескольких компьютеров в домене службы каталогов Active Directory® через Групповую политику, изменяя настройки Аудита изменения политики (Audit policy change) и Аудита отслеживания процессов (Audit process tracking) в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политика аудита (Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy) для объектов групповой политики в соответствующих контейнерах системы домена.

После включения аудита для просмотра событий аудита в журнале безопасности используйте оснастку Просмотр событий (Event Viewer).

Брандмауэр Windows использует следующие ID коды событий:

  • 848 – Отображает загрузочную конфигурацию брандмауэра Windows.
  • 849 – Отображает настройки исключений для программ.
  • 850 – Отображает настройки исключений для портов.
  • 851 – Отображает изменение в перечне настроек исключений для программ.
  • 852 – Отображает изменение в перечне настроек для портов.
  • 853 – Отображает изменение рабочего состояния брандмауэра Windows.
  • 854 – Отображает изменение в настройках ведения журнала брандмауэра Windows.
  • 855 – Отображает изменение в параметрах ICMP.
  • 856 – Отображает изменение установки Запретить однонаправленный ответ на многоадресный или широковещательный запрос (Prohibit unicast response to multicast or broadcast requests setting).
  • 857 – Отображает изменение настройки удаленного администрирования (Remote Administration).
  • 860 – Отображает изменение профиля.
  • 861 – Отображает приложение, перешедшее в состояние ожидания входящего трафика.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.