- •Лабораторная работа № 4 Задание 1. Аудит и журналы безопасности Windows
- •Теоретические сведения
- •Общие понятия
- •Политика аудита
- •Аудит событий входа учетных записей в систему.
- •Аудит событий входа в систему.
- •Аудит изменения политики.
- •Аудит отслеживания процессов.
- •Аудит системных событий
- •События аудита
- •Управление аудитом
- •Порядок выполнения задания
- •Теоретические сведения
- •Общие сведения об efs
- •Принцип действия efs
- •Особенности шифрования efs
- •Восстановление данных
- •Порядок выполнения работы.
Аудит изменения политики.
Этот параметр политики определяет необходимость аудита каждого изменения политик назначения прав пользователям, политик доверия или самой политики аудита.
Если параметр Аудит изменения политики настроен для регистрации значений Успех, запись аудита создается при каждом успешном изменении политик назначения прав пользователям, политик доверия или политик аудита. Если этот параметр политики настроен для регистрации значений Отказ, запись аудита создается при каждой неудачной попытке изменения политик назначения прав пользователям, политик доверия или политик аудита.
Рекомендованный способ настройки этого параметра позволяет узнать, какие привилегии учетной записи злоумышленник пытается повысить или получить (например, привилегии Отладка программ или Архивация файлов и каталогов).
Аудит использования привилегий.
Для обеспечения контроля возможностей выполнения пользователями функций системного уровня, таких как изменение системного времени или выключение, в Windows применяется система прав пользователей (привилегий).
Этот параметр политики определяет необходимость аудита каждого применения права пользователя. Если параметр Аудит использования привилегий настроен на регистрацию значений типа Успех, запись аудита создается при каждом успешном применении права пользователя. Если этот параметр настроен на регистрацию значений типа Отказ, запись аудита создается при каждой неудачной попытке применения права пользователя.
При применении указанных ниже прав пользователя аудит не записывается, даже если задан параметр Аудит использования привилегий, поскольку для этих прав регистрируется большое число событий в журнале безопасности. Аудит следующих прав пользователя отрицательно сказывался бы на производительности компьютеров:
обход перекрестной проверки;
отладка программ;
создание маркерного объекта;
Замена маркера уровня процесса;
создание аудитов безопасности;
архивация файлов и каталогов;
восстановление файлов и каталогов.
Примечание. Если нужно осуществлять аудит этих прав, необходимо включить в групповой политике параметр Аудит: аудит прав на архивацию и восстановление.
Аудит отслеживания процессов.
Этот параметр политики определяет необходимость аудита подробной информации о таких событиях, как активация программ, завершение процессов, дублирование дескрипторов и косвенный доступ к объектам. Если этот параметр настроен на регистрацию значений типа Успех, запись аудита создается при каждой операции, успешно выполненной отслеживаемым процессом. Если этот параметр настроен на регистрацию значений типа Отказ, запись аудита создается при каждой неудачной попытке выполнения операции отслеживаемым процессом.
Если параметр Аудит отслеживания процессов задан, регистрируется большое количество событий, поэтому обычно ему присваивают значение Нет аудита. Однако этот параметр может оказаться очень полезным при реагировании на инциденты, потому что он позволяет получить подробные сведения о запущенных процессах и времени запуска каждого из них.