2.6 Управление журналом аудита

Сначала нужно войти под учётной записью «user» и попытаться открыть журнал аудита. Группе «Пользователи», в которую входит «user», по умолчанию запрещена работа с журналом аудита, поэтому операционная система сгенерирует ошибку доступа (рисунок 2.40).

Рисунок 2.40 – Ошибка доступа к журналу аудита

Затем необходимо запустить от имени учётной записи «Администратор» оснастку «Локальная политика безопасности» и добавьте пользователя «user» в перечень учётных записей параметра «Управление аудитом и журналом безопасности» (рисунок 2.41). Под учётной записью «user» нужно проверить наличие прав для работы с журналом аудита (рисунок 2.42).

Рисунок 2.41 – Параметр управления доступом к журналу безопасности

Рисунок 2.42 – Доступ к журналу аудита у пользователя «user»

Далее нужно войти под учётной записью «Администратор». В меню журнала аудита выбрать «Вид» – «Фильтр» и настроить фильтр в соответствии с рисунком 2.43. После применения фильтра в журнале останутся записи только об удачных и неудачных попытках входа под учётной записью «user» (рисунок 2.44).

Рисунок 2.43 – Настройка фильтрации записей журнала безопасности

Рисунок 2.44 – Вид журнала аудита после фильтрации

При поиске объекта с известным именем лучше использовать функцию поиска: «Вид» – «Найти» (рисунок 2.45), введя имя (часть имени) файла.

В контекстном меню журнала «Безопасность» требуется выбрать «Свойства». В появившейся вкладке можно установить максимальный размер журнала и действия в случае его переполнения (рисунок 2.46).

Рисунок 2.45 – Настройка поиска записей журнала безопасности

Рисунок 2.46 – Настройка работы журнала безопасности

Для установки запрета работы пользователя в случае переполнении журнала необходимо включить параметр «Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности» в разделе «Параметры безопасности» локальной групповой политики (рисунок 2.47).

Рисунок 2.47 – Настройка действий при переполнении журнала безопасности

Затем необходимо перезагрузить операционную систему и войти под учётной записью «Администратор». Нужно генерировать новые записи аудита до тех пор, пока не произойдёт заполнение журнала и перезагрузка системы. После этого требуется войти в систему под учётной записью «Администратор», сохранить журнал (рисунок 2.48) и очистить его.

Рисунок 2.48 – Очистка журнала аудита

2.7 Индивидуальное задание

В соответствии с 5 вариантом нужно проанализировать журнал безопасности согласно распределению вариантов и определить виновных.

В сетевых ресурсах предприятия дополнительной мерой защиты при обмене значимыми электронными документами между сотрудниками является установка пароля. Секретарь оповестила администратора безопасности о недейственности таких мер защиты, приведя в пример редактированный документ «Отчет деятельности сотрудников на апрель.doc» по сравнению с сохранившимся оригиналом. Администратор безопасности настроил аудит чтения на сетевой ресурс «C:\Ресурсы предприятия\Обмен» с применением наследования параметров аудита для создаваемых в нем файловых объектов. Проведите аудит файловых объектов этого ресурса на факт подбора пароля к ним.

Пользователь Людмила запускала несколько раз данный документ (рисунки 2.49 – 2.50). Так же она читала и изменяла его (рисунок 2.51). Подбор паролей с внешнего носителя – «WORDKEY» (рисунок 2.52).

Рисунок 2.49 – Аудит успеха о запуске WINWORD.EXE

Рисунок 2.50 – Аудит успеха о еще одном запуске

Рисунок 2.51 – Аудит о записи данных

Рисунок 2.52 – Аудит о запуске стороннего ПО