10.2. Реалізація політики аудита

Аудит — могутній інструмент для відстеження подій, що відбуваються на комп'ютерах у вашому офісі. Перш ніж застосовувати аудит, варто продумати вимоги до нього й установити політику аудита.

Конфігурація аудита

На комп'ютерах з Windows XP Professional політики аудита встановлюються для кожного комп'ютера окремо.

Необхідні умови аудита

Для установлення й адміністрування аудита необхідно:

мати право користувача Управління аудитом і журналом безпеки (Управление аудитом и журналом безопасности або Manage Auditing And Security Log) на комп'ютері, що планується для встановлення політики аудита або перегляду журналу безпеки. За замовчуванням у Windows XP Professional такі права має група Адміністратори (Administrators);

розмістити файли і папки, аудит яких планується, на томах з файловою системою NT (NTFS).

g

Настроювання аудита

Настроювання аудита виконується в два етапи.

Завдання політики аудита. Політика аудита дозволяє аудит об'єктів, але не ініціює аудит заданих об'єктів.

Дозвіл аудита заданих ресурсів. Для файлів, папок, принтерів і об'єктів Active Directory призначаються конкретні події, що підлягають реєстрації. Після цього Windows XP Professional починає відслідковувати задані події і реєструвати їх у журналі.

Установлення політики аудита

На першому етапі встановлення політики аудита в Windows XP Professional необхідно вибрати типи подій, що підлягають реєстрації. Для кожної події, що реєструється, в параметрах указується, які спроби варто відслідковувати — успішні або невдалі. Політика аудита на локальному комп'ютері встановлюється засобами оснащення Групова політика, яку можна запустити, використовуючи консоль управління ММС (консоль управления ММС або Microsoft Management Console) і додавши в консоль оснащення Групова політика (Групповая политика або Group Policy).

У таблиці 10.1 перераховані типи подій, що реєструються Windows XP Professional.

Таблиця 10.1. Типи подій, що реєструються Windows XP Professional

Подія Опис Вхід у систему з заданим обліковим записом Контролер домену отримав запит на перевірку облікового запису користувача (застосовується тільки у випадках, коли комп'ютер з Windows XP Professional входить у домен Microsoft Windows 2000) Управління обліковими записами Адміністратор створив, змінив чи видалив обліковий запис користувача або групу. Будь-який обліковий запис був перейменований, відключений або включений, або для нього був призначений або змінений пароль Доступ до служби каталогів Користувач отримав доступ до об'єкта Active Directory. Для реєстрації подій цього типу потрібно сконфігурувати аудит для визначених об'єктів Active Directory (Active Directory можна застосовувати, тільки якщо комп'ютер з Windows XP Professional входить у домен Microsoft Windows 2000) Вхід у систему Користувач локально ввійшов у систему чи вийшов з неї, або підключився до комп'ютера через мережу (або відключився від нього) Доступ до об'єктів Користувач отримав доступ до файлу, папки або принтеру. Визначені файли, папки або принтери повинні бути настроєні для аудита. У цьому випадку реєструється доступ користувачів до файлів, папок і принтерів Зміна системної політики Змінено параметри безпеки користувача, права користувача або політику аудита Використання привілеїв Користувач застосував права, наприклад змінив системний час (у цьому випадку не маються на увазі права, пов'язані з реєстрацією в системі або з виходом з неї) Відстеження процесу Програма виконала дію. Ця інформація важлива головним чином для програмістів, яким потрібно детально простежити виконання програми. Системні події Користувач запустив знову чи виключив комп'ютер, або відбулася подія, що вплинула на безпеку Windows XP Professional чи на журнал безпеки. Наприклад, журнал аудита переповнився і Windows XP Professional починає ігнорувати повідомлення про події, що надходять.

Для встановлення політики аудита на комп'ютері з Windows XP Professional запустіть оснащення Групова політика (Групповая политика або Group Policy), як описано далі.

1. Ввійдіть у систему, використовуючи обліковий запис користувача, що входить у групу Адміністратори (Администраторы або Administrators).

2. Натисніть Пуск (Пуск або Start), Виконати (Выполнить або Run). У вікні, що відкрилося, наберіть mmc і натисніть ОК.

3. У вікні Консоль 1 (Console 1) у меню Консоль (File) натисніть пункт Додати або видалити оснащення (Добавить или удалить оснастку або Add/Remove Snap-In).

4. У вікні, що відкрилося, Додати/видалити оснащення (Добавить/удалить оснастку або Add/Remove Snap-In) натисніть кнопку Додати (Добавить або Add).

5. У вікні, що відкрилося, Додати ізольоване оснащення (Добавить изолированную оснастку або Add Standalone Snap-In) виберіть у списку оснащення Групова політика (Групповая политика або Group Policy), потім натисніть кнопку Додати (Добавить або Add).

6. Переконаєтеся, що у вікні Вибір об'єкта для настроювання групової політики (Выбор объекта для настройки групповой политики або Select Group Policy Object) у полі Об'єкт групової політики (Объект групповой политики або Group Policy Object) зазначено параметр Локальний комп'ютер (Локальный комп’ютер або Local Computer), потім натисніть кнопку Готово (Готово або Finish).

7. У вікні Додати ізольоване оснащення (Добавить изолированную оснастку або Add Standalone Snap-In) натисніть кнопку Закрити (Закрыть або Close).

8. Зверніть увагу, що у вікні Додати/видалити оснащення (Добавить/удалить оснастку або Add/Remove Snap-In) відображається елемент Політика «Локальний комп'ютер» (Политика „Локальный комп’ютер” або Local Computer Policy) незважаючи на те, що ви вибрали оснащення Групова політика (Групповая политика або Group Policy). Справа в тому, що для локального комп'ютера Групова політика (Групповая политика або Group Policy) означає те ж саме, що і Політика «Локальний комп'ютер» (Политика „Локальный комп’ютер” або Local Computer Policy). У вікні Додати/видалити оснащення (Добавить/удалить оснастку або Add /Remove Snap-In) натисніть кнопку ОК.

9. У панелі Корінь консолі (Корень консоли або Console Tree) оснащення двічі натисніть елемент Політика «Локальний комп'ютер» (Политика „Локальный комп’ютер” або Local Computer Policy).

10. Двічі натисніть Конфігурація комп'ютера (Конфигурация компьютера або Computer Configuration), потім - Конфігурація Windows (Конфигурация Windows або Windows Settings).

11. Двічі натисніть Параметри безпеки (Параметры безопасности або Security Settings), потім - Локальні політики (Локальные политики або Local Policies).

12. Натисніть папку Політика аудита (Политика аудита або Audit Policy).

13. У правій панелі консолі відобразяться поточні параметри політики аудита, як показано на рис. 10.1.

Рис. 10.1. Події, для яких можна включити аудит у Windows XP Professional

14. Виберіть тип події для аудита, потім у меню Дія (Действие або Action) натисніть пункт Властивості (Свойства або Properties).

Наприклад, якщо в списку вказати Аудит входу в систему ( Audit Logon Events) і в меню Дія (Действие або Action) натиснути пункт Властивості (Свойства або Properties), з'явиться вікно Властивості: аудит входу в систему (Свойства: аудит входа в систему або Audit Account Logon Events Properties), як показано на рис. 10.2.

Рис. 10.2. Вікно Властивості: аудит подій входу в систему  (Свойства: аудит событий входа в систему або Audit Account Logon Events Properties)

15. Встановіть прапорець Успіх (Успех або Success), прапорець Відмова (Отказ або Failure) або обидва прапорці.

16. Якщо обрано прапорець Успіх (Успех або Success), то включено аудит успішних спроб. Якщо обрано прапорець Відмова (Отказ або Failure), то включено аудит невдалих спроб.

17. Натисніть ОК.

18. Запустіть знову комп'ютер.

Після настроювання параметрів політики аудита майте на увазі, що зміни в політиці аудита комп'ютера набирають сили тільки після перезапуску.

Порада Команда gpupdate дозволяє обновляти параметри як локальної групової політики, так і політики об'єктів Active Directory, включаючи параметри безпеки. Щоб обновити параметри на локальному комп'ютері, ввійдіть у режим командного рядка, наберіть gpupdate і натисніть Enter. Для одержання більш повного опису команди gpupdate у меню Пуск (Пуск або Start) натисніть Справка і підтримка (Справка и поддержка або Help And Support) і використовуйте пошук для перебування рядка gpupdate.

Аудит доступу до файлів і папок

Якщо потрібно виявити слабкі місця в захисті корпоративної мережі, можна установити аудит файлів і папок, розташованих у розділах NTFS. Для аудита доступу користувачів до файлів і папок насамперед варто настроїти політику аудита на реєстрацію доступу до об'єктів, у тому числі файлів і папок.

При настроюванні політики аудита на реєстрацію доступу до об'єктів включається аудит конкретних файлів і папок. При цьому також указується, які види доступу, користувачі і групи підлягають аудитові.

Щоб включити аудит конкретних файлів або папок, потрібно виконати дії, описані далі.

1. У меню Пуск (Start) натисніть правою клавішею миші Мій комп'ютер (Мой компьютер або My Computer) і виберіть пункт меню Провідник (Проводник або Explore).

2. Натисніть правою клавішею миші файл або папку, для якої потрібно включити аудит, і виберіть пункт контекстного меню Властивості (Свойства або Properties).

3. На вкладці Безпека (Безопасность або Security) діалогового вікна Властивості (Свойства або Properties) натисніть кнопку Додатково (Дополнительно або Advanced).

   Порада Якщо в діалоговому вікні Властивості (Свойства або Properties) немає вкладки Безпека (Безопасность або Security) з'ясуйте, чи знаходяться обрані файли і папки в розділі, який відформатований як NTFS. Якщо комп'ютер не входить у домен з'ясуйте, чи виключений простий спільний доступ до файлів (Simple File Sharing). Для вимикання простого спільного доступу до файлів натисніть Пуск (Start), натисніть правою кнопкою миші Мій комп'ютер (Мой компьютер або My Computer), потім - пункт меню Провідник (Проводник або Explore). У меню Сервіс (Tools) виберіть пункт Властивості папки (Folder Options). На вкладці Вид (View) зніміть прапорець Простий спільний доступ до файлів (Рекомендується) (Простой общий доступ к файлам (Рекомендуется) або Simple File Sharing (Recommended)) і натисніть ОК.

4. На вкладці Аудит (Auditing) у діалоговому вікні Додаткові параметри безпеки (Дополнительные параметры безопасности або Advanced Security Settings For folder_name) натисніть кнопку Додати (Добавить або Add), виберіть користувачів, для яких потрібно включити аудит доступу до файлів і папок, та натисніть ОК.

5. У діалоговому вікні Елемент аудита для ім'я_папки (Элемент аудита для имя_папки або Audit Entry For folder'_name) встановіть прапорець Успіх (Успех або Successful), Відмовлення (Отказ або Failed) або обидва прапорці, щоб указати тип подій для аудита.

На рис. 10.3 показаний список подій, аудит яких можливий для папок.

Рис. 10.3. Події, аудит яких можливий для папок

У таблиці 10.2 перераховані дії користувачів, що викликають відповідні події для визначення, у яких випадках варто включати аудит цих подій.

Таблиця 10.2. Події для файлів і папок, що викликані діями користувачів

Подія Дія користувача, що викликала подію Перехід у папку/Виконання файлу (Переход в папку/Выполнение файла або Traverse Folder/Execute File) Запуск програми або одержання доступу до папки при зміні поточної папки Одержання списку файлів/Читання даних (Получение списка файлов/Чтение даннях або List Folder/Read Data) Перегляд умісту файлу або папки Читання атрибутів (Чтение атрибутов або Read Attributes) Перегляд атрибутів файлу або папки Читання розширених атрибутів (Чтение расширенных атрибутов або Read Extended Attributes) Перегляд атрибутів файлу або папки Створення файлів/Запис даних (Создание файлов/Запись данных або Create Files/Write Data) Зміна вмісту файлу або створення нових файлів у папці Створення папок/Додавання даних (Создание папок/Добавление данных або Create Folders/Append Data) Створення папок усередині папок 3апис атрибутів (3апись атрибутов або Write Attributes) Зміна атрибутів файлу або папки 3апис розширених атрибутів (3апись расширенных атрибутов або Write Extended Attributes) Зміна атрибутів файлу або папки Видалення вкладених папок і файлів (Удаление вложенных папок и файлов або Delete Subfolders And Files) Видалення файлу або папки усередині папки Видалення (Удаление або Delete) Видалення файлу або папки Читання дозволів (Чтение разрешений або Read Permissions) Перегляд прав власника файлу на файл або папку Зміна дозволів (Смена разрешений або Change Permissions) Зміна прав доступу до файлу або папки Зміна власника (Смена владельца або Take Ownership) Змінити право власника на файл або папку

6. Натисніть OK, щоб повернутися в діалогове вікно Додаткові параметри безпеки (Дополнительные параметры безопасности або Advanced Security Settings For folder_name). За замовчуванням усі зміни параметрів аудита, виконані для батьківської папки, належать також і до всіх дочірніх папок і усіх файлів у батьківській і дочірній папках.

7. Щоб заборонити зміни параметрів аудита для поточної папки при зміні параметрів батьківської папки, зніміть прапорець Успадковувати від батьківського об'єкта: Параметри аудита, що застосовні до дочірніх об'єктів (Inherit From Parent The Auditing Entries That Apply To Child Objects).

8. Натисніть ОК.

Аудит доступу до принтерів

При необхідності відслідковувати використання конкретних принтерів включіть аудит доступу до принтерів.

Включіть аудит конкретних принтерів і вкажіть, які види доступу реєструвати і які користувачі будуть мати доступ. Для обраного принтера аудит включається в тій же послідовності, що і при установці параметрів аудита файлів і папок.

1. У меню Пуск (Start) натисніть Панель управління (Панель управления або Control Panel), потім — Принтери й інше устаткування (Принтеры и другое оборудование або Printers And Other Hardware).

2. Виберіть Принтери і факси (Принтеры и факсы або Printers And Faxes). Натисніть правою клавішею миші значок принтера, для якого потрібно включити аудит, і виберіть пункт меню Властивості (Свойства або Properties).

3. У діалоговому вікні Властивості (Свойства або Properties) для обраного принтера на вкладці Безпека (Безопасность або Security) натисніть Додатково (Дополнительно або Advanced).

4. З'явиться діалогове вікно Додаткові параметри безпеки (Дополнительные параметры безопасности або Advanced Security Settings).

5. На вкладці Аудит (Auditing) натисніть кнопку Додати (Добавить або Add), виберіть відповідних користувачів або відповідні групи, для яких потрібно включити аудит доступу до принтерів, і натисніть ОК.

6. У діалоговому вікні Елемент аудита (Элемент аудита або Auditing Entry) у поле зі списком Застосовувати (Применять або Apply Onto) виберіть область дії обраних параметрів аудита.

7. У полі Застосовувати (Применять або Apply Onto) для принтера можна вибрати Тільки для цього принтера (Только для этого принтера або This Printer Only), Тільки для документів (Только для документов або Documents), Для цього принтера і документів (Для этого принтера и документов або This Printer And Documents).

8. У полі Доступ (Access) встановіть прапорець Успіх (Успех або Successful), Відмовлення (Отказ або Failed) або обидва прапорці, у залежності від подій, аудит яких потрібен (рис. 10.4).

9. Щоб вийти, натисніть ОК у відповідних діалогових вікнах.

Рис. 10.4. Події, аудит яких можливий для принтерів

У таблиці 10.3 перераховані події, аудит яких можливий для принтерів, і відповідні цим подіям дії користувачів.

Таблиця 10.3. Події для принтерів, що викликані діями користувачів

Подія Дія користувача, що викликало подію Друк (Печать або Print) Друк файлу Управління принтерами (Управление принтерами або Manage Printers) Зміна параметрів принтера, припинення друку, дозвіл спільного використання принтера, видалення принтера із системи Управління документами (Управление документами або Manage Documents) Зміна параметрів завдань; припинення або продовження друку, зміна порядкового номера в черзі або видалення документів; дозвіл спільного використання принтера; зміна параметрів принтера Читання дозволів (Чтение разрешений або Read Permissions) Перегляд прав доступу до принтера Зміна дозволів (Смена разрешений або Change Permissions) Зміна прав доступу до принтера Зміна власника (Смена владельца або Take Ownership) Зміна власника принтера