Аудит ресурсов и событий. [Занятие 13]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Thursday 26 October 2006 - 10:27:52
[newpage=Активизация аудита с помощью оснастки]
Занятие 13. Аудит ресурсов и событий.
Аудит - это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.
После включения аудита операционная система Windows Server 2003 начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий. В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.
Аудит представляет собой многошаговый процесс. Сначала его следует активизировать с помощью оснастки Групповая политика. По умолчанию аудит отключен, поскольку он снижает производительность системы. После включения аудита необходимо определить набор отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту и включить его с помощью Редактора списков управления доступом, ACL.
Для того чтобы иметь возможность настраивать аудит для файлов и папок, необходимо иметь права администратора.
Аудит, установленный для родительской папки, автоматически наследуется всеми вновь созданными дочерними папками и файлами. Этого можно избежать, если при создании файла или папки вызвать окно свойств и на вкладке Аудит снять флажок Переносить наследуемый от родительского объекта аудит на этот объект. Если же этот флажок отображен серым цветом или кнопка Удалить недоступна, это значит, что настройки аудита уже унаследованы. В этом случае для изменения настроек аудита дочерних объектов нужно изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.
Активизация аудита с помощью оснастки.
Для активизации аудита на изолированном компьютере:
Запустите оснастку Групповая политика (Выполните последовательно: щелкните кнопку Пуск, далее команды - Администрирование, Локальная политика безопасности).
*Последовательно раскройте узлы Локальные политики, Политика аудита.
*На правой панели появится список политик аудита. По умолчанию все они имеют значение Нет аудита. Для включения аудита следует изменить значения нужных параметров.
*Дважды щелкните левой кнопкой мыши устанавливаемую политику аудита. Откроется диалоговое окно, с помощью которого можно разрешить аудит. В группе Вести аудит следующих попыток доступа установите флажки Успех или Отказ, или оба.
*Щелкните кнопку ОК.
Подобную операцию следует повторить для политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, следует снять флажки Успех и Отказ.
[newpage=Настройка и просмотр аудита папок и файлов]
Настройка и просмотр аудита папок и файлов.
Чтобы настроить, просмотреть или изменить настройки аудита файлов и папок выполните следующие действия:
Установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку мыши. В открывшемся контекстном меню выберите команду Свойства. В окне свойств папки или файла перейдите на вкладку Безопасность.
*На вкладке Безопасность щелкните кнопку Дополнительно и затем перейдите на вкладку Аудит.
*Если вы хотите настроить аудит для нового пользователя или группы, на вкладке Аудит щелкните кнопку Добавить. Откроется диалоговое окно Выбор: Пользователь, Компьютер или Группа. Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется диалоговое окно Элемент аудита для. Здесь введите необходимые параметры аудита. В списке Применять укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В группе Доступ следует указать, какие события следует отслеживать: окончившиеся успешно (Успех), неудачно (Отказ) или оба типа событий. Флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера определяет, распространяются ли введенные вами настройки аудита на файлы и папки, находящиеся ниже по дереву каталогов файловой системы (флажок не установлен). В обратном случае установите флажок (или выберите в списке Применять опцию Только для этой папки). Это позволит не выполнять аудит для тех объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все окна диалога.
*Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, щелкните кнопку Показать/Изменить. Откроется диалоговое окно Элемент аудита для. Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений щелкните кнопку ОК.
[newpage=Область действия настроек аудита]
Область действия настроек аудита.
Настройка аудита выполняется с помощью окна диалога Элемент аудита для, где с помощью поля Применять можно определить область распространения настроек аудита.
Результирующее действие значения, введенного в этом поле, зависит от того, установлен ли флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера. По умолчанию этот флажок снят.
В таблицах 1 и 2 показано, как настройки аудита действуют в случае, когда этот флажок соответственно снят и установлен.
Таблица 1. Действие настроек аудита при снятом флажке Применять этот аудит к объектам и контейнерам только внутри этого контейнера.
Таблица 2. Действие настроек аудита при установленном флажке Применять этот аудит к объектам и контейнерам только внутри этого контейнера.
Отключение аудита файлов и папок.
Для отключения аудита файла или папки выполните следующие действия:
Если кнопка Удалить недоступна, это значит, что настройки аудита наследуются от родительской папки.
эта статья с Компьютерные сети и технологии
( http://xnets.ru/plugins/content/content.php?content.151 )
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Thursday 26 October 2006 - 10:27:52
[newpage=Активизация аудита с помощью оснастки]
Занятие 13. Аудит ресурсов и событий.
Аудит - это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности. Например, попытки создать объекты файловой системы или Active Directory, получить к ним доступ или удалить их. Информация о подобных событиях заносится в файл журнала событий операционной системы.
После включения аудита операционная система Windows Server 2003 начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий. В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.
Аудит представляет собой многошаговый процесс. Сначала его следует активизировать с помощью оснастки Групповая политика. По умолчанию аудит отключен, поскольку он снижает производительность системы. После включения аудита необходимо определить набор отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту и включить его с помощью Редактора списков управления доступом, ACL.
Для того чтобы иметь возможность настраивать аудит для файлов и папок, необходимо иметь права администратора.
Аудит, установленный для родительской папки, автоматически наследуется всеми вновь созданными дочерними папками и файлами. Этого можно избежать, если при создании файла или папки вызвать окно свойств и на вкладке Аудит снять флажок Переносить наследуемый от родительского объекта аудит на этот объект. Если же этот флажок отображен серым цветом или кнопка Удалить недоступна, это значит, что настройки аудита уже унаследованы. В этом случае для изменения настроек аудита дочерних объектов нужно изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.
Активизация аудита с помощью оснастки.
Для активизации аудита на изолированном компьютере:
Запустите оснастку Групповая политика (Выполните последовательно: щелкните кнопку Пуск, далее команды - Администрирование, Локальная политика безопасности).
*Последовательно раскройте узлы Локальные политики, Политика аудита.
*На правой панели появится список политик аудита. По умолчанию все они имеют значение Нет аудита. Для включения аудита следует изменить значения нужных параметров.
*Дважды щелкните левой кнопкой мыши устанавливаемую политику аудита. Откроется диалоговое окно, с помощью которого можно разрешить аудит. В группе Вести аудит следующих попыток доступа установите флажки Успех или Отказ, или оба.
*Щелкните кнопку ОК.
Подобную операцию следует повторить для политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, следует снять флажки Успех и Отказ.
[newpage=Настройка и просмотр аудита папок и файлов]
Настройка и просмотр аудита папок и файлов.
Чтобы настроить, просмотреть или изменить настройки аудита файлов и папок выполните следующие действия:
Установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку мыши. В открывшемся контекстном меню выберите команду Свойства. В окне свойств папки или файла перейдите на вкладку Безопасность.
*На вкладке Безопасность щелкните кнопку Дополнительно и затем перейдите на вкладку Аудит.
*Если вы хотите настроить аудит для нового пользователя или группы, на вкладке Аудит щелкните кнопку Добавить. Откроется диалоговое окно Выбор: Пользователь, Компьютер или Группа. Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется диалоговое окно Элемент аудита для. Здесь введите необходимые параметры аудита. В списке Применять укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В группе Доступ следует указать, какие события следует отслеживать: окончившиеся успешно (Успех), неудачно (Отказ) или оба типа событий. Флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера определяет, распространяются ли введенные вами настройки аудита на файлы и папки, находящиеся ниже по дереву каталогов файловой системы (флажок не установлен). В обратном случае установите флажок (или выберите в списке Применять опцию Только для этой папки). Это позволит не выполнять аудит для тех объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все окна диалога.
*Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, щелкните кнопку Показать/Изменить. Откроется диалоговое окно Элемент аудита для. Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений щелкните кнопку ОК.
[newpage=Область действия настроек аудита]
Область действия настроек аудита.
Настройка аудита выполняется с помощью окна диалога Элемент аудита для, где с помощью поля Применять можно определить область распространения настроек аудита.
Результирующее действие значения, введенного в этом поле, зависит от того, установлен ли флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера. По умолчанию этот флажок снят.
В таблицах 1 и 2 показано, как настройки аудита действуют в случае, когда этот флажок соответственно снят и установлен.
Таблица 1. Действие настроек аудита при снятом флажке Применять этот аудит к объектам и контейнерам только внутри этого контейнера.
Значения в поле Применять | Выполняется аудит текущей папки | Выполняется аудит дочерних папок текущей папки | Выполняется аудит файлов в текущей папке | Выполняется аудит всех дочерних папок | Выполняется аудит файлов во всех дочерних папках |
Только для этой папки | x | ||||
Для этой папки, ее подпапок и файлов | x | x | x | x | x |
Для этой папки и ее подпапок | x | x | x | ||
Для этой папки и ее файлов | x | x | x | ||
Только для подпапок и файлов | x | x | x | x | |
Только для подпапок | |||||
Только для файлов | x | x |
Таблица 2. Действие настроек аудита при установленном флажке Применять этот аудит к объектам и контейнерам только внутри этого контейнера.
Значения в поле Применять | Выполняется аудит текущей папки | Выполняется аудит дочерних папок текущей папки | Выполняется аудит файлов в текущей папке | Выполняется аудит всех дочерних папок | Выполняется аудит файлов во всех дочерних папках |
Только для этой папки | x | ||||
Для этой папки, ее подпапок и файлов | x | x | x | ||
Для этой папки и ее подпапок | x | x | |||
Для этой папки и ее файлов | x | x | |||
Только для подпапок и файлов | x | x | |||
Только для подпапок | x | ||||
Только для файлов | x |
Отключение аудита файлов и папок.
Для отключения аудита файла или папки выполните следующие действия:
- Установите указатель мыши на файл или папку, где необходимо отключить аудит, и нажмите правую кнопку мыши. В открывшемся меню выберите команду Свойства. Откроется окно свойств файла или папки.
- Перейдите на вкладку Безопасность и щелкните кнопку Дополнительно. В открывшемся диалоговом окне выберите вкладку Аудит.
- В поле Элементы аудита выберите нужную запись и щелкните кнопку Удалить. Соответствующая запись будет удалена.
Если кнопка Удалить недоступна, это значит, что настройки аудита наследуются от родительской папки.
эта статья с Компьютерные сети и технологии
( http://xnets.ru/plugins/content/content.php?content.151 )