1. Что такое аудит

Настройка аудита позволяет выбрать типы событий, так или иначе связанных с безопасностью, которые должны регистрироваться службой аудита. Когда происходит такое событие, в журнал безопасности компьютера добавляется соответствующая запись. Журнал безопасности — эффективный инструмент контроля событий выбранных Вами типов.

Настройка аудита для контроллеров домена определяет тип и объем протоколирования событий, выполняемого Windows NT Server на всех контроллерах домена; для компьютеров под управлением Windows NT Workstation или для серверов — тип и объем протоколирования событий, выполняемого только на данном компьютере. Вы можете установить единую политику аудита в домене для:

• отслеживания успешных и неудачных событий, например попытки зарегистрироваться в системе, считать файл, изменить права пользователей и групп, изменить политику защиты или подключиться к сети;

• устранения или уменьшения риска несанкционированного использования ресурсов;

• отслеживания тенденций развития сети в течение некоторого периода времени с помощью архивов журнала безопасности; изучение архивов позволит выяснить различные закономерности, например, в использовании файлов и принтеров.

2. Установка и настройка аудита

Аудит может быть установлен на любом компьютере, работающем под управлением Windows NT, однако аудит файлов и папок возможен только для разделов NTFS.

Для настройки аудита Вам необходимо:

• быть членом группы Administrators (Администраторы) того компьютера, на котором Вы собираетесь настраивать политику аудита,

• или же обладать привилегией Manage auditing and security log (Управление аудитом и журналом безопасности) — по умолчанию она присваивается группе Administrators (Администраторы).

!!!Члены группы Server Operators (Операторы сервера) не могут управлять аудитом; однако они могут администрировать журналы защиты и, в частности, просматривать и архивировать их.

1. Резюме

• Аудит — одно из средств защиты сети Windows NT, позволяющее отслеживать действия пользователей и другие системные события в сети.

• Настройка аудита позволяет указать типы событий, которые будут регистрироваться и протоколироваться в журнале безопасности.

• Аудит, реализованный на контроллере домена, распространяется на все контроллеры этого домена.

• Аудит, реализованный на рабочей станции под управлением Windows NT Workstation или сервере, распространяется только на этот компьютер.

• Для осуществления аудита файлов и папок их надо разместить на разделе NTFS.

• Для настройки аудита Вам необходимо обладать административными полномочиями на данном компьютере.

2. Планирование и реализация аудита

На этом занятии Вы узнаете о планировании аудита домена в сетях с низкими, средними и высокими требованиями к безопасности. Кроме того, мы расскажем о развертывании аудита и осуществлении аудита папок, файлов и принтеров.

1. Планирование аудита

Настройка аудита позволяет выбрать типы событий, подлежащих регистрации, и их регистрируемые результаты — успех или отказ. Перед тем как развертывать аудит, необходимо принять решение относительно перечисленных ниже параметров аудита.

• Типы событий, которые должны регистрироваться в Вашей сети:

Чтобы отслеживать...	Включите аудит следующих событий
попытки несанкционированной регистрации	вход в систему и выход из нее
попытки несанкционированного использования ресурсов	использование ресурсов папки и файла
системные задачи, выполняемые пользователем	использование привилегий
изменения в учетных записях пользователей и групп	управление пользователями и группами
изменения привилегий пользователей или стратегии аудита	изменение политики безопасности
попытки манипулирования сервером	перезагрузка или выключение системы
программы, используемые пользователями	отслеживание процессов

• Какой результат события должен регистрироваться: успех, отказ или оба.

  • Регистрация успехов поможет определить, насколько часто пользователи обращаются к определенным файлам или принтерам. Это, в частности, поможет в планировании использования ресурсов.

  • Регистрация отказов будет сигнализировать о попытках нарушения защиты.

В сетях с минимальными требованиями к безопасности подвергайте аудиту:

• успешное использование ресурсов, лишь если эта информация Вам необходима для планирования;

• успешное использование важной и конфиденциальной информации, например данных платежных ведомостей.

В сетях со средними требованиями к безопасности подвергайте аудиту:

• успешное использование важных ресурсов;

• успешные и неудачные попытки изменений стратегии безопасности и административной политики;

• успешное использование важной и конфиденциальной информации.

В сетях с высокими требованиями к безопасности подвергайте аудиту:

• успешные и неудачные попытки регистрации пользователей;

• успешное и неудачное использование любых ресурсов;

• успешные и неудачные попытки изменений стратегии безопасности и административной политики.

!!!Аудит приводит к дополнительной нагрузке на систему, поэтому регистрируйте лишь события, действительно представляющие интерес.