
4. Настроим аудит принтера.
1. Нажмем Пуск, затем Панель управления, выберем категорию Принтеры и другое оборудование и значок Принтеры и факсы.
2. В окне принтеры выберем подходящий для нашей задачи принтер, затем откроем его Свойства.
3. На вкладке Безопасность щелкнем кнопку Дополнительно.
4. В открывшемся для нас диалоговом окне Дополнительные параметры безопасности выберем Аудит, после чего нажмем кнопку Добавить.
5. В диалоговом окне Выбор: пользователь или группа, в поле Имя, укажем Все и щелкнем ОК.
6. В диалоговом окне Элемент аудита (выбранный принтер) установим флажок Успех для всех видов события.
7. Щелкнем ОК. Windows XP Professional отобразит группу Все в диалоговом окне Управление доступом (выбранный принтер).
8. Чтобы сохранить изменения щелкнем ОК.
9. Закроем окно Свойства (выбранный принтер), нажав ОК.
10. Закроем окно Принтеры и факсы.
5. Проверка правильности параметров политики аудита для файла audit1.
1. Щелкнем Пуск, Панель управления затем Учетные записи.
2. Создадим учетную запись User с ограничением доступа.
3. Создадим пароль User для учетной записи User.
4. При помощи комбинации клавиш Windows+L сменим пользователя на User.
5. Войдем в систему под учетной записью User, используя пароль User.
6. Откроем Мой компьютер, затем перейдем на жесткий диск С, выберем папку Audit, в которой откроем файл Audit.
7. Введем в нем произвольный текст.
8. Попытаемся сохранить этот файл. Изменения сохранить не удалось, так как мы не обладаем необходимыми правами.
9. Закроем файл, не сохраняя изменения, завершим работу с системой.
Пытаемся переименовать сам файл.
6. Просмотр журнала безопасности.
1. Войдем в систему под любой учетной записью, которая входит в группу Администраторы.
2. Щелкнем Пуск, Панель управление, категория Производительность и обслуживание и выберем Администрирование, затем откроем Просмотр событий.
3. В дереве консоли щелкнем журнал приложений и просмотрим его содержимое. Дважды щелкнув по событию, можно просмотреть его содержимое.
4. В дереве консоли выберем системный журнал и просмотрим его содержимое. Дважды щелкнув по событию, можно просмотреть его содержимое.
5. Просмотрим все события категории Отказ, пока не найдем попытку доступа к файлу пользователя User.
6. В меню Вид выберем пункт Фильтр.
7. В диалоговом окне Свойства: Безопасность, в поле Пользователь, введем User и нажмем ОК. Использование фильтра позволит сократить наше время поиска.
8. Дважды щелкнем по событию, чтобы просмотреть его. Выберем событие в котором зарегистрирован доступ к объекту, при котором получен отказ.
События журнала приложений:
События журнала безопасности:
Большинство этих событий вызываются применением следующих привилегий:
SeTakeOwnershipPrivilege, которая предоставляет пользователю возможность становиться владельцем любого объекта, позволяет пользователю стать владельцем объекта и изменить DACL таким образом, чтобы позволить себе любые операции над объектом (последовательность операций при этом такова: открывается объект с правом доступа WRITE_OWNER, пользователь назначает себя владельцем, объект закрывается и открывается снова с правом доступа WRITE_DAC, изменяется DACL объекта).
SeTcbPrivilege - привилегия, наиболее актуальная при создании logon-а. С помощью привилегии SE_TCB_NAME можно получать маркер доступа по имени пользователя и паролю. Точнее, эта функция передает локальной подсистеме безопасности (Local Security Authority – LSA) запрос на создание новой сессии. Тип сессии определяется параметром dwLogonType.
SeBackupPrivilege - привилегия обычно назначается операторам, выполняющим работы по администрированию файл-сервера. Она позволяет даже при отсутствии явного разрешения в списке разграничительного доступа (DACL) просматривать информацию о владельце, группе и DACL файла или директории. Если у вас нет явного разрешения на просмотр такой информации для файла или директории, при включенной привилегии вы все-таки сможете открыть файл с доступом READ_CONTROL.
SeIncreaseBasePriorityPrivilege - Привилегия используется для повышения базового приоритета процессов до уровня Realtime. Используется во всех функциях создания процесса и установки его базового приоритета, где приоритет устанавливается равным Realtime. Если пользователь не имеет соответствующей привилегии, процесс всегда запускается с приоритетом не больше высокого.
SeSecurityPrivilege - привилегия используется для проверки доступа к системному списку контроля доступа (SACL – System Access Control List) дескриптора безопасности. Любые функции, изменяющие SACL, и, соответственно, вызванные с флагом SACL_SECURITY_INFORMATION, требуют наличия этой привилегии во включенном состоянии.
SeShutdownPrivilege - необходима для выключения компьютера и обычно используется с функцией ExitWindows[Ex]. Отсутствие привилегии не дает пользователю выключать компьютер (широко применяется на комьютерах, котором функционируют в виде системных служб важные серверные компоненты).