Сокрытие следов. Отключение аудита.
В WIN 2000 применяются в основном те же средства и приемы сокрытия следов, что и в более ранних версиях операционной системы с небольшими отличиями. Приведем их краткое описание.
Отключение аудита
Для включения аудита можно воспользоваться аплетом Local Security Policy (secpol.msc) или Group Policy (gpedit.msc), выбрав на левой панели управляющей консоли элемент Local Policy › Audit Policy или Computer Configuration › Windows SettingsoSecurity Settings › Local Policy › Audit Policy соответственно. Политика групп будет рассмотрена ниже в этой главе. Параметры аудита в WIN 2000 в основном совпадают с параметрами NT 4.
В настоящее время никакой централизации ведения журналов регистрации в WIN 2000 не планируется – все журналы по-прежнему хранятся на локальных машинах, что является слабым местом по сравнению с системой регистрации syslog в UNIX. И конечно же. Windows 2000 по-прежнему отказывается записывать IP-адрес удаленного соединения для подозрительных событий типа неудачной регистрации. Некоторые вещи никогда не изменятся.
Для включения и отключения аудита можно использовать также утилиту auditpol из набора средств NTRK. Эта утилита работает точно так же, как описано в главе 5, если не учитывать интерфейс настройки аудита политики групп. Что бы мы делали без NTRK?