4. Настроим аудит принтера.

1. Нажмем Пуск, затем Панель управления, выберем категорию Принтеры и другое оборудование и значок Принтеры и факсы.

2. В окне принтеры выберем подходящий для нашей задачи принтер, затем откроем его Свойства.

3. На вкладке Безопасность щелкнем кнопку Дополнительно.

4. В открывшемся для нас диалоговом окне Дополнительные параметры безопасности выберем Аудит, после чего нажмем кнопку Добавить.

5. В диалоговом окне Выбор: пользователь или группа, в поле Имя, укажем Все и щелкнем ОК.

6. В диалоговом окне Элемент аудита (выбранный принтер) установим флажок Успех для всех видов события.

7. Щелкнем ОК. Windows XP Professional отобразит группу Все в диалоговом окне Управление доступом (выбранный принтер).

8. Чтобы сохранить изменения щелкнем ОК.

9. Закроем окно Свойства (выбранный принтер), нажав ОК.

10. Закроем окно Принтеры и факсы.

5. Проверка правильности параметров политики аудита для файла audit1.

1. Щелкнем Пуск, Панель управления затем Учетные записи.

2. Создадим учетную запись User с ограничением доступа.

3. Создадим пароль User для учетной записи User.

4. При помощи комбинации клавиш Windows+L сменим пользователя на User.

5. Войдем в систему под учетной записью User, используя пароль User.

6. Откроем Мой компьютер, затем перейдем на жесткий диск С, выберем папку Audit, в которой откроем файл Audit.

7. Введем в нем произвольный текст.

8. Попытаемся сохранить этот файл. Изменения сохранить не удалось, так как мы не обладаем необходимыми правами.

9. Закроем файл, не сохраняя изменения, завершим работу с системой.

Пытаемся переименовать сам файл.

6. Просмотр журнала безопасности.

1. Войдем в систему под любой учетной записью, которая входит в группу Администраторы.

2. Щелкнем Пуск, Панель управление, категория Производительность и обслуживание и выберем Администрирование, затем откроем Просмотр событий.

3. В дереве консоли щелкнем журнал приложений и просмотрим его содержимое. Дважды щелкнув по событию, можно просмотреть его содержимое.

4. В дереве консоли выберем системный журнал и просмотрим его содержимое. Дважды щелкнув по событию, можно просмотреть его содержимое.

5. Просмотрим все события категории Отказ, пока не найдем попытку доступа к файлу пользователя User.

6. В меню Вид выберем пункт Фильтр.

7. В диалоговом окне Свойства: Безопасность, в поле Пользователь, введем User и нажмем ОК. Использование фильтра позволит сократить наше время поиска.

8. Дважды щелкнем по событию, чтобы просмотреть его. Выберем событие в котором зарегистрирован доступ к объекту, при котором получен отказ.

События журнала приложений:

События журнала безопасности:

Большинство этих событий вызываются применением следующих привилегий:

SeTakeOwnershipPrivilege, которая предоставляет пользователю возможность становиться владельцем любого объекта, позволяет пользователю стать владельцем объекта и изменить DACL таким образом, чтобы позволить себе любые операции над объектом (последовательность операций при этом такова: открывается объект с правом доступа WRITE_OWNER, пользователь назначает себя владельцем, объект закрывается и открывается снова с правом доступа WRITE_DAC, изменяется DACL объекта).

SeTcbPrivilege - привилегия, наиболее актуальная при создании logon-а. С помощью привилегии SE_TCB_NAME можно получать маркер доступа по имени пользователя и паролю. Точнее, эта функция передает локальной подсистеме безопасности (Local Security Authority – LSA) запрос на создание новой сессии. Тип сессии определяется параметром dwLogonType.

SeBackupPrivilege - привилегия обычно назначается операторам, выполняющим работы по администрированию файл-сервера. Она позволяет даже при отсутствии явного разрешения в списке разграничительного доступа (DACL) просматривать информацию о владельце, группе и DACL файла или директории. Если у вас нет явного разрешения на просмотр такой информации для файла или директории, при включенной привилегии вы все-таки сможете открыть файл с доступом READ_CONTROL.

SeIncreaseBasePriorityPrivilege - Привилегия используется для повышения базового приоритета процессов до уровня Realtime. Используется во всех функциях создания процесса и установки его базового приоритета, где приоритет устанавливается равным Realtime. Если пользователь не имеет соответствующей привилегии, процесс всегда запускается с приоритетом не больше высокого.

SeSecurityPrivilege - привилегия используется для проверки доступа к системному списку контроля доступа (SACL – System Access Control List) дескриптора безопасности. Любые функции, изменяющие SACL, и, соответственно, вызванные с флагом SACL_SECURITY_INFORMATION, требуют наличия этой привилегии во включенном состоянии.

SeShutdownPrivilege - необходима для выключения компьютера и обычно используется с функцией ExitWindows[Ex]. Отсутствие привилегии не дает пользователю выключать компьютер (широко применяется на комьютерах, котором функционируют в виде системных служб важные серверные компоненты).