Иллюстрированный самоучитель по администрированию Windows 2000/2003

Мониторинг безопасности с помощью журнала событий

Установка политики аудита

Прежде чем организовать аудит, Вы должны продумать политику аудита. В политике аудита определяются категории событий, связанных с безопасностью, которые должны регистрироваться системой. По умолчанию после установки Windows 2000 аудит всех категорий событий отключен. Включая аудит различных категорий событий, Вы можете установить такую политику аудита, которая будет отвечать требованиям безопасности Вашей организации.

Если Вы хотите использовать в политике аудита слежение за доступом к объектам, включите политику Аудит доступа к службе каталогов (Audit directory service access) (для наблюдения за объектами на контроллере домена) или политику Аудит доступа к объектам (Audit object access) (для наблюдения за объектами на рядовом сервере). После включения аудита доступа к требуемому объекту Вы можете для каждого отдельного объекта указать в его свойствах, нужно ли вести аудит успехов или отказов применительно к разрешениям, предоставленным каждой группе или пользователю.

Чтобы установить аудит доступа к файлам и папкам:

  1. Нажмите кнопку Пуск (Start), выберите Выполнить (Run), введите mmc /a, после чего нажмите кнопку OK.
  2. В меню Консоль (Console)выберите пункт Добавить/удалить оснастку (Add/Remove Snap-in), после чего нажмите кнопку Добавить (Add).
  3. В списке Доступные изолированные оснастки (Available Standalone Snap-ins) выберите оснастку Групповая политика (Group Policy) и нажмите кнопку Добавить (Add).
  4. В окне Выбор объекта групповой политики (Select Group Policy Object) выберите пункт Локальный компьютер (Local Computer), нажмите кнопки Готово (Finish), Закрыть (Close) и OK.
  5. Раскройте узел Политика “Локальный компьютер” (Local Computer Policy) и выберите пункт Политика аудита (Audit Policy).
  6. В области сведений щелкните правой кнопкой мыши по элементу Аудит доступа к объектам (Audit Object Access), после чего выберите пункт Безопасность (Security).
  7. В окне Параметр локальной политики безопасности (Local Security Policy Setting)установите нужные Вам настройки, после чего нажмите кнопку OK.

Чтобы установить, просмотреть, изменить или удалить аудит доступа к файлам и папкам:

  1. Откройте проводник Windows (Windows Explorer) и найдите файл или папку, для которой Вы хотите установить аудит.
  2. Щелкните правой кнопкой мыши по этому файлу или папке, выберите пункт Свойства (Properties)и перейдите на вкладку Безопасность (Security).
  3. Нажмите кнопку Дополнительно (Advanced) и перейдите на вкладку Аудит (Auditing).

    Выполните одно из следующих действий:

    • Чтобы установить аудит для новой группы или пользователя, нажмите кнопку Добавить (Add). В поле Имя (Name) введите имя нужного пользователя и нажмите кнопку OK – автоматически откроется диалоговое окно Элемент аудита (Auditing Entry).
    • Для просмотра или изменения параметров аудита для существующей группы или пользователя выберите требуемое имя и нажмите кнопку Показать/Изменить (View/Edit).
    • Чтобы удалить аудит для существующей группы или пользователя, выберите требуемое имя и нажмите кнопку Удалить (Remove).

Примечание:

  • В случае необходимости в диалоговом окне Элемент аудита (Auditing Entry) выберите область применения аудита из списка Применять (Apply onto). Этот список доступен только для папок.
  • В области Доступ (Access) для каждого вида доступа, который вы хотите отслеживать, установите флажок в столбце Успех (Successful) и/или Отказ (Failed).

    Если Вы не хотите допустить наследования этих параметров аудита файлами и подпапками, установите флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Apply these auditing entries to objects and/or containers within this container only).

  • Прежде чем Windows 2000 начнет регистрировать события доступа к файлам и папкам, Вы должны включить параметр Аудит доступа к объекту (Audit Object Access) в политике аудита (Audit Policy), используя для этого оснастку Групповая политика (Group Policy). Если Вы этого не сделаете, то при включении аудита доступа к файлам и папкам получите сообщение об ошибке и аудит выполняться не будет. После включения аудита в групповой политике просматривайте журнал безопасности через оснастку Просмотр событий (Event Viewer) для анализа журнала безопасности. В нем отслеживаются успешные и неудачные попытки доступа к тем файлам и папкам, для которых Вы установили аудит.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.