Прежде чем организовать аудит, Вы должны продумать политику аудита. В политике аудита определяются категории событий, связанных с безопасностью, которые должны регистрироваться системой. По умолчанию после установки Windows 2000 аудит всех категорий событий отключён. Включая аудит различных категорий событий, Вы можете установить такую политику аудита, которая будет отвечать требованиям безопасности Вашей организации.
Если Вы хотите использовать в политике аудита слежение за доступом к объектам, включите политику
Аудит доступа к службе каталогов (Audit directory service access) (для наблюдения за объектами на контроллере домена) или политику
Аудит доступа к объектам (Audit object access) (для наблюдения за объектами на рядовом сервере). После включения аудита доступа к требуемому объекту Вы можете для каждого отдельного объекта указать в его свойствах, нужно ли вести аудит успехов или отказов применительно к разрешениям, предоставленным каждой группе или пользователю.
Чтобы установить аудит доступа к файлам и папкам
1.
Нажмите кнопку
Пуск (Start), выберите
Выполнить (Run), введите
mmc /a, после чего нажмите кнопку
OK.
2.
В меню
Консоль (Console) выберите пункт
Добавить/удалить оснастку (Add/Remove Snap-in), после чего нажмите кнопку
Добавить (Add).
3.
В списке
Доступные изолированные оснастки (Available Standalone Snap-ins) выберите оснастку
Групповая политика (Group Policy) и нажмите кнопку
Добавить (Add).
4.
В окне
Выбор объекта групповой политики (Select Group Policy Object) выберите пункт
Локальный компьютер (Local Computer), нажмите кнопки
Готово (Finish),
Закрыть (Close) и
OK.
5.
Раскройте узел
Политика “Локальный компьютер” (Local Computer Policy) и выберите пункт
Политика аудита (Audit Policy).
6.
В области сведений щёлкните правой кнопкой мыши по элементу
Аудит доступа к объектам (Audit Object Access), после чего выберите пункт
Безопасность (Security).
7.
В окне
Параметр локальной политики безопасности (Local Security Policy Setting) установите нужные Вам настройки, после чего нажмите кнопку
OK.
Чтобы установить, просмотреть, изменить или удалить аудит доступа к файлам и папкам
1.
Откройте проводник Windows (Windows Explorer) и найдите файл или папку, для которой Вы хотите установить аудит.
2.
Щёлкните правой кнопкой мыши по этому файлу или папке, выберите пункт
Свойства (Properties) и перейдите на вкладку
Безопасность (Security).
3.
Нажмите кнопку
Дополнительно (Advanced) и перейдите на вкладку
Аудит (Auditing).
Выполните одно из следующих действий.
•
Чтобы установить аудит для новой группы или пользователя, нажмите кнопку
Добавить (Add). В поле
Имя (Name) введите имя нужного пользователя и нажмите кнопку
OK – автоматически откроется диалоговое окно
Элемент аудита (Auditing Entry).
•
Для просмотра или изменения параметров аудита для существующей группы или пользователя выберите требуемое имя и нажмите кнопку
Показать/Изменить (View/Edit).
•
Чтобы удалить аудит для существующей группы или пользователя, выберите требуемое имя и нажмите кнопку
Удалить (Remove).
Примечание.
•
В случае необходимости в диалоговом окне
Элемент аудита (Auditing Entry) выберите область применения аудита из списка
Применять (Apply onto). Этот список доступен только для папок.
•
В области
Доступ (Access) для каждого вида доступа, который вы хотите отслеживать, установите флажок в столбце
Успех (Successful) и/или
Отказ (Failed).
Если Вы не хотите допустить наследования этих параметров аудита файлами и подпапками, установите флажок
Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Apply these auditing entries to objects and/or containers within this container only).
•
Прежде чем Windows 2000 начнёт регистрировать события доступа к файлам и папкам, Вы должны включить параметр
Аудит доступа к объекту (Audit Object Access) в политике аудита (Audit Policy), используя для этого оснастку
Групповая политика (Group Policy). Если Вы этого не сделаете, то при включении аудита доступа к файлам и папкам получите сообщение об ошибке и аудит выполняться не будет. После включения аудита в групповой политике просматривайте журнал безопасности через оснастку
Просмотр событий (Event Viewer) для анализа журнала безопасности. В нём отслеживаются успешные и неудачные попытки доступа к тем файлам и папкам, для которых Вы установили аудит.
Советы и рекомендации
Поскольку размер журнала безопасности ограничен, Вы должны взвешенно подходить к вопросу выбора файлов и папок, для которых хотите установить аудит доступа. Вы также должны решить, какой объём места на диске Вы готовы выделить для журнала безопасности. Максимальный размер указывается в оснастке
Просмотр событий (Event Viewer).
Чтобы просмотреть журнал безопасности
1.
Откройте оснастку
Управление компьютером (Computer Management): нажмите кнопку
Пуск (Start), выберите команду
Настройка (Settings), а затем – команду
Панель управления (Control Panel). Выполните двойной щелчок сначала по значку
Администрирование (Administrative Tools), а затем по значку
Управление компьютером (Computer Management).
2.
В дереве консоли раскройте узел
Просмотр событий (Event Viewer). Выполните двойной щелчок по узлу
Безопасность (Security) и в области сведений проанализируйте список событий аудита.
Советы и рекомендации по ведению аудита
Вы можете предпринять различные шаги по ведению аудита, чтобы минимизировать возможность нарушения безопасности. В следующей таблице представлены различные события, аудит которых Вы должны вести, а также соответствующие им угрозы безопасности, которые отслеживаются при помощи данных событий.
Событие аудита
Потенциальная угроза
Аудит отказов для событий входа/выхода из системы.
Взлом с использованием случайного пароля.
Аудит успехов для событий входа/выхода из системы
Несанкционированный вход с использованием украденного пароля.
Аудит успехов для событий управления правами пользователей, управления пользователями и группами, изменения политик безопасности, перезагрузки, выключения компьютера и системных событий.
Злоупотребление полномочиями.
Аудит успехов и отказов для событий доступа к файлам и объектам. Аудит успехов и отказов диспетчером файлов (File Manager) событий чтения/записи важных файлов подозрительными пользователями или группами.
Использование важных файлов в корыстных целях.
Аудит успехов и отказов для событий доступа к файлам, принтерам и объектам. Аудит успехов и отказов диспетчером печати (Print Manager) событий доступа на печать на принтерах подозрительными пользователями и группами.
Использование принтеров в корыстных целях.
Аудит успехов и отказов для событий доступа на запись к программным файлам (с расширениями .EXE и .DLL). Аудит успехов и отказов для событий отслеживания процессов. Запустите подозрительные программы и проанализируйте журнал безопасности на наличие непредвиденных попыток изменения программных файлов или создания непредусмотренных процессов. Запускайте этот аудит только если непосредственно наблюдаете за журналом безопасности.