1. Реализация аудита

Аудит реализуют на том компьютере, события которого собираются отслеживать. Скажем, для аудита событий, происходящих на главном контроллере домена (например, попыток пользователей зарегистрироваться в сети или изменить учетные записи пользователей), необходимо реализовать аудит на главном контроллере домена.

Для отслеживания событий на любом другом компьютере домена (например, доступа к файлу на сервере) необходимо настроить аудит на этом компьютере.

События заносятся в локальный журнал безопасности компьютера, но пользователь, имеющий административные полномочия на этом компьютере, может просмотреть журнал с любого компьютера. Аудит производится в два этапа.

  • Определение стратегии путем выбора событий, подлежащих аудиту, в программе User Manager for Domains. На компьютерах под управлением Windows NT Workstation или на серверах используйте программу User Manager (Диспетчер пользователей).

  • Выбор файлов, папок и принтеров, для которых необходим аудит, а также пользователей и групп, действия которых Вы хотите отслеживать. Для установки аудита папок и файлов пользуйтесь программой Windows NT Explorer (Проводник); аудит принтеров устанавливается в окне Printers (Принтеры).

      1. Выбор доменной стратегии аудита

Первый этап разработки стратегии аудита — выбор событий, подлежащих аудиту, в диалоговом окне Audit Policy (Политика аудита) программы User Manager for Domains (Диспетчер пользователей доменов). Это окно открывается командой Audit (Аудит) меню Policies (Политика).

В приведенной ниже таблице описаны типы событий, которые могут регистрироваться.

!!!Если Вы реализуете аудит на компьютере под управлением Windows NT Workstation или на сервере, то необходимо использовать программу User Manager (Диспетчер пользователей). Параметры диалоговых окон Audit Policy (Политика аудита) программ User Manager и User Manager for Domains одинаковы.

      1. Аудит файлов и папок

После того как стратегия аудита определена, остается выбрать папки и файлы, подлежащие аудиту, указать, какие события этих файлов и папок должны регистрироваться, а также пользователей и группы, действия которых с этими объектами должны отслеживаться. Чтобы вызвать диалоговое окно Directory Auditing (Аудит каталога) или File Auditing (Аудит файла), щелкните правой кнопкой мыши папку или файл в Windows NT Explorer (Проводник), выберите из появившегося меню пункт Properties (Свойства), щелкните вкладку Security (Безопасность), а затем — кнопку Auditing (Аудит).

В следующей таблице описаны события, аудит которых возможен и для папок, и для файлов.

      1. Аудит группы Everyone

Группа Everyone(Все) очень полезна при аудите. В эту группу входят все локальные и удаленные пользователи, включая и тех, кто зарегистрирован по учетной записи Guest (Гость). Выполняя аудит группы Everyone (Все), Вы можете отслеживать использование ресурса всеми, кто может к нему подключиться, а не только теми, для кого Вы создали учетные записи в домене.

      1. Аудит принтера

Аудит принтера аналогичен аудиту папок и файлов. Сначала Вы выбираете стратегию аудита, а затем указываете, какие связанные с принтером события нужно регистрировать, а также группы и пользователей, действия которых над принтером Вы хотите отслеживать. Чтобы вызвать диалоговое окно Printer Auditing (Аудит принтера), дважды щелкните принтер в окне Printers (Принтеры), выберите пункт Properties (Свойства) из меню Printer (Принтер), щелкните вкладку Security (Безопасность) и затем — кнопку Auditing (Аудит).

В приведенной ниже таблице перечислены относящиеся к принтеру события, аудит которых возможен.

      1. Резюме

  • Планируя стратегию аудита, Вы должны решить, какие ресурсы должны отслеживаться и какие действия над ними — регистрироваться.

  • Аудит реализуют на том компьютере, события которого хотят отслеживать. Аудит на главном контроллере домена позволяет отслеживать события, происходящие на всех контроллерах домена. Аудит на компьютере, работающем под управлением Windows NT Workstation, или на сервере позволяет отслеживать только события, которые происходят на этом компьютере.

  • Чтобы установить режим аудита, сначала выработайте стратегию аудита для домена или компьютера, укажите события, связанные с папками, файлами и принтерами, которые нужно регистрировать, а затем перечислите пользователей и группы, действия которых над выбранными объектами нужно отслеживать.

  • Включите аудит группы Everyone, чтобы отслеживать использование ресурсов всеми пользователями, которые могут подключиться к ним, а не только членами домена.