Ведение журналов аудита
Для отслеживания изменений, вносимых в настройки брандмауэра Windows, и определения приложений и служб, обращающихся к ОС Windows XP для прослушивания портов, Вы можете включить аудит и затем просматривать события аудита в журнале безопасности.
Чтобы активировать ведение журнала аудита на компьютере под управлением Windows XP SP2, сделайте следующее:
- Выполните вход в систему с учетными данными администратора компьютера.
- Из меню Пуск (Start) перейдите в Панель управления (Control Panel), выберите Производительность и обслуживание (Performance and Maintenance), а затем нажмите Администрирование (Administrative Tools).
- В окне Администрирование (Administrative tools), дважды щелкните по ярлыку Локальная политика безопасности (Local Security Policy).
- В дереве консоли оснастки Параметры безопасности(Local Security Settins) выберите Локальные политики (Local Policies), затем Политика Аудита (Audit Policy).
- В правой панели оснастки Параметры безопасности (Local Security Settings), дважды щелкните Аудит изменения политики (Audit policy change). Отметьте поля Успех (Success) и Отказ(Failure) и нажмите ОК.
- В правой панели оснастки Параметры безопасности (Local Security Settings), дважды щелкните Аудит отслеживания процессов (Audit process tracking). Отметьте поля Успех(Success) и Отказ(Failure) и нажмите ОК.
- Закройте оснастку Параметры безопасности (Local Security Settins).
Вы также можете включить аудит для нескольких компьютеров в домене службы каталогов Active Directory® через Групповую политику, изменяя настройки Аудита изменения политики (Audit policy change) и Аудита отслеживания процессов (Audit process tracking) в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политика аудита (Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy) для объектов групповой политики в соответствующих контейнерах системы домена.
После включения аудита для просмотра событий аудита в журнале безопасности используйте оснастку Просмотр событий (Event Viewer).
Брандмауэр Windows использует следующие ID коды событий:
- 848 – Отображает загрузочную конфигурацию брандмауэра Windows.
- 849 – Отображает настройки исключений для программ.
- 850 – Отображает настройки исключений для портов.
- 851 – Отображает изменение в перечне настроек исключений для программ.
- 852 – Отображает изменение в перечне настроек для портов.
- 853 – Отображает изменение рабочего состояния брандмауэра Windows.
- 854 – Отображает изменение в настройках ведения журнала брандмауэра Windows.
- 855 – Отображает изменение в параметрах ICMP.
- 856 – Отображает изменение установки Запретить однонаправленный ответ на многоадресный или широковещательный запрос (Prohibit unicast response to multicast or broadcast requests setting).
- 857 – Отображает изменение настройки удаленного администрирования (Remote Administration).
- 860 – Отображает изменение профиля.
- 861 – Отображает приложение, перешедшее в состояние ожидания входящего трафика.