главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • В Windows 10 Mobile теперь тоже можно читать EPUB в браузере
  • Microsoft HoloLens: голографические чаты не за горами
  • В Windows 10 Mobile появится сброс настроек приложений
  • В Windows 10 станет удобнее делиться контентом
  • Мониторинг безопасности с помощью журнала событий

    Установка политики аудита

    Прежде чем организовать аудит, Вы должны продумать политику аудита. В политике аудита определяются категории событий, связанных с безопасностью, которые должны регистрироваться системой. По умолчанию после установки Windows 2000 аудит всех категорий событий отключён. Включая аудит различных категорий событий, Вы можете установить такую политику аудита, которая будет отвечать требованиям безопасности Вашей организации.

    Если Вы хотите использовать в политике аудита слежение за доступом к объектам, включите политику Аудит доступа к службе каталогов (Audit directory service access) (для наблюдения за объектами на контроллере домена) или политику Аудит доступа к объектам (Audit object access) (для наблюдения за объектами на рядовом сервере). После включения аудита доступа к требуемому объекту Вы можете для каждого отдельного объекта указать в его свойствах, нужно ли вести аудит успехов или отказов применительно к разрешениям, предоставленным каждой группе или пользователю.

    Чтобы установить аудит доступа к файлам и папкам

    1.

    Нажмите кнопку Пуск (Start), выберите Выполнить (Run), введите mmc /a, после чего нажмите кнопку OK.

    2.

    В меню Консоль (Console) выберите пункт Добавить/удалить оснастку (Add/Remove Snap-in), после чего нажмите кнопку Добавить (Add).

    3.

    В списке Доступные изолированные оснастки (Available Standalone Snap-ins) выберите оснастку Групповая политика (Group Policy) и нажмите кнопку Добавить (Add).

    4.

    В окне Выбор объекта групповой политики (Select Group Policy Object) выберите пункт Локальный компьютер (Local Computer), нажмите кнопки Готово (Finish), Закрыть (Close) и OK.

    5.

    Раскройте узел Политика “Локальный компьютер” (Local Computer Policy) и выберите пункт Политика аудита (Audit Policy).

    6.

    В области сведений щёлкните правой кнопкой мыши по элементу Аудит доступа к объектам (Audit Object Access), после чего выберите пункт Безопасность (Security).

    7.

    В окне Параметр локальной политики безопасности (Local Security Policy Setting) установите нужные Вам настройки, после чего нажмите кнопку OK.

    Чтобы установить, просмотреть, изменить или удалить аудит доступа к файлам и папкам

    1.

    Откройте проводник Windows (Windows Explorer) и найдите файл или папку, для которой Вы хотите установить аудит.

    2.

    Щёлкните правой кнопкой мыши по этому файлу или папке, выберите пункт Свойства (Properties) и перейдите на вкладку Безопасность (Security).

    3.

    Нажмите кнопку Дополнительно (Advanced) и перейдите на вкладку Аудит (Auditing).

    Выполните одно из следующих действий.

    Чтобы установить аудит для новой группы или пользователя, нажмите кнопку Добавить (Add). В поле Имя (Name) введите имя нужного пользователя и нажмите кнопку OK – автоматически откроется диалоговое окно Элемент аудита (Auditing Entry).

    Для просмотра или изменения параметров аудита для существующей группы или пользователя выберите требуемое имя и нажмите кнопку Показать/Изменить (View/Edit).

    Чтобы удалить аудит для существующей группы или пользователя, выберите требуемое имя и нажмите кнопку Удалить (Remove).

    Примечание.

    В случае необходимости в диалоговом окне Элемент аудита (Auditing Entry) выберите область применения аудита из списка Применять (Apply onto). Этот список доступен только для папок.

    В области Доступ (Access) для каждого вида доступа, который вы хотите отслеживать, установите флажок в столбце Успех (Successful) и/или Отказ (Failed).

    Если Вы не хотите допустить наследования этих параметров аудита файлами и подпапками, установите флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Apply these auditing entries to objects and/or containers within this container only).

    Прежде чем Windows 2000 начнёт регистрировать события доступа к файлам и папкам, Вы должны включить параметр Аудит доступа к объекту (Audit Object Access) в политике аудита (Audit Policy), используя для этого оснастку Групповая политика (Group Policy). Если Вы этого не сделаете, то при включении аудита доступа к файлам и папкам получите сообщение об ошибке и аудит выполняться не будет. После включения аудита в групповой политике просматривайте журнал безопасности через оснастку Просмотр событий (Event Viewer) для анализа журнала безопасности. В нём отслеживаются успешные и неудачные попытки доступа к тем файлам и папкам, для которых Вы установили аудит.

    Советы и рекомендации

    Поскольку размер журнала безопасности ограничен, Вы должны взвешенно подходить к вопросу выбора файлов и папок, для которых хотите установить аудит доступа. Вы также должны решить, какой объём места на диске Вы готовы выделить для журнала безопасности. Максимальный размер указывается в оснастке Просмотр событий (Event Viewer).

    Чтобы просмотреть журнал безопасности

    1.

    Откройте оснастку Управление компьютером (Computer Management): нажмите кнопку Пуск (Start), выберите команду Настройка (Settings), а затем – команду Панель управления (Control Panel). Выполните двойной щелчок сначала по значку Администрирование (Administrative Tools), а затем по значку Управление компьютером (Computer Management).

    2.

    В дереве консоли раскройте узел Просмотр событий (Event Viewer). Выполните двойной щелчок по узлу Безопасность (Security) и в области сведений проанализируйте список событий аудита.

    Советы и рекомендации по ведению аудита

    Вы можете предпринять различные шаги по ведению аудита, чтобы минимизировать возможность нарушения безопасности. В следующей таблице представлены различные события, аудит которых Вы должны вести, а также соответствующие им угрозы безопасности, которые отслеживаются при помощи данных событий.

    Событие аудита

    Потенциальная угроза

    Аудит отказов для событий входа/выхода из системы.

    Взлом с использованием случайного пароля.

    Аудит успехов для событий входа/выхода из системы

    Несанкционированный вход с использованием украденного пароля.

    Аудит успехов для событий управления правами пользователей, управления пользователями и группами, изменения политик безопасности, перезагрузки, выключения компьютера и системных событий.

    Злоупотребление полномочиями.

    Аудит успехов и отказов для событий доступа к файлам и объектам. Аудит успехов и отказов диспетчером файлов (File Manager) событий чтения/записи важных файлов подозрительными пользователями или группами.

    Использование важных файлов в корыстных целях.

    Аудит успехов и отказов для событий доступа к файлам, принтерам и объектам. Аудит успехов и отказов диспетчером печати (Print Manager) событий доступа на печать на принтерах подозрительными пользователями и группами.

    Использование принтеров в корыстных целях.

    Аудит успехов и отказов для событий доступа на запись к программным файлам (с расширениями .EXE и .DLL). Аудит успехов и отказов для событий отслеживания процессов. Запустите подозрительные программы и проанализируйте журнал безопасности на наличие непредвиденных попыток изменения программных файлов или создания непредусмотренных процессов. Запускайте этот аудит только если непосредственно наблюдаете за журналом безопасности.

    Начало вирусной эпидемии

    Дополнительная информация

    Последнюю информацию о Windows 2000 Server см. на веб-сайте корпорации Майкрософт по адресу http://www.microsoft.com/windows2000 (EN), а также на форуме Windows 2000/NT по адресу http://computingcentral.msn.com/topics/windowsnt (EN).


    Начало->>>

    Автор: Алексей Веретенников aka Aliver
    Иcточник: (переведено с англ.) Microsoft Technet
    Взято с: http://www.oszone.ru

    Внимание!
    Читайте другие интересные статьи на эту тему в разделе 'Статьи и Книги'.
    Так же в разделе 'Полезное' много интересной информации



    Оцените статью:
    Голосов 0

    Материалы по теме:
  • Управление групповыми учетными записями с помощью Групповой политики Windows Server 2008 R2
  • Аудит управления учетными записями в Windows Server 2008 R2
  • Использование оснастки Event Viewer консоли управления Computer Management Console в операционной системе Windows Server 2003
  • Бэкап журнала событий в Windows Vista
  • Разрешения для файлов и папок


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет шесть минус один?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+