Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Thursday 26 October 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Занятие 13. Аудит ресурсов и событий.
Аудит - это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.
После включения аудита операционная система Windows Server 2003 начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий. В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.
Аудит представляет собой многошаговый процесс. Сначала его следует активизировать с помощью оснастки Групповая политика. По умолчанию аудит отключен, поскольку он снижает производительность системы. После включения аудита необходимо определить набор отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту и включить его с помощью Редактора списков управления доступом, ACL.
Для того чтобы иметь возможность настраивать аудит для файлов и папок, необходимо иметь права администратора.
Аудит, установленный для родительской папки, автоматически наследуется всеми вновь созданными дочерними папками и файлами. Этого можно избежать, если при создании файла или папки вызвать окно свойств и на вкладке Аудит снять флажок Переносить наследуемый от родительского объекта аудит на этот объект. Если же этот флажок отображен серым цветом или кнопка Удалить недоступна, это значит, что настройки аудита уже унаследованы. В этом случае для изменения настроек аудита дочерних объектов нужно изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.
Активизация аудита с помощью оснастки.
Для активизации аудита на изолированном компьютере:
Запустите оснастку Групповая политика (Выполните последовательно: щелкните кнопку Пуск, далее команды - Администрирование, Локальная политика безопасности). *Последовательно раскройте узлы Локальные политики, Политика аудита. *На правой панели появится список политик аудита. По умолчанию все они имеют значение Нет аудита. Для включения аудита следует изменить значения нужных параметров. *Дважды щелкните левой кнопкой мыши устанавливаемую политику аудита. Откроется диалоговое окно, с помощью которого можно разрешить аудит. В группе Вести аудит следующих попыток доступа установите флажки Успех или Отказ, или оба. *Щелкните кнопку ОК.
Подобную операцию следует повторить для политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, следует снять флажки Успех и Отказ.
