Просмотр журнала событий.
Чтобы эффективно использовать результаты аудита, нужно регулярно просматривать журналы событий. Для просмотра журнала безопасности откройте элемент «Просмотр событий» из меню Администрирование и затем дважды щёлкните на объекте «Журнал безопасности». В окне просмотра событий ведутся журналы программных, системных событий, а также событий безопасности на компьютере. Окно просмотра событий используется для просмотра журналов событий и управления ими, получения сведений о неполадках аппаратного и программного обеспечения, а также для наблюдения за событиями безопасности Windows 2000.
Записи журнала безопасности на следующем рисунке являются результатом одного события. Для папки был задан аудит успешных событий типа «Содержание папки/Чтение данных». Разовое открытие папки одним пользователем привело к генерации всех записей, которые показаны на рисунке. Обычно вы можете узнать больше в результате аудита неудачных событий, чем из аудита успешных событий, но именно этот пример показывает необходимость тщательного выбора параметров аудита.
|
|
|
Рис. 5.2. Просмотр журнала событий |
Порядок выполнения работы.
1. Аудит событий.
Параметры аудита событий настраиваются с помощью оснастки «Локальные параметры безопасности» (Пуск Настройка Панель управления Администрирование Локальные параметры безопасности) (рис. 5.3, а).
Для того чтобы настроить аудит какого-либо события выберите в меню Действие команду «открыть» или просто дважды щёлкните мышкой на нужном объекте. В появившемся окне выберите для чего вы будете вести аудит – для успеха, отказа или успеха или отказа одновременно и нажмите OK (рис. 5.3, б).
|
|
|
а) |
|
|
|
б) |
|
Рис. 5.3. Настройка локальных параметров безопасности |
2. Настройка, просмотр, изменение и отмена аудита файла или папки
Откройте проводник и найдите файл или папку для настройки параметров аудита.
Щелкните файл или папку правой кнопкой мыши, выберите пункт Свойства и перейдите на вкладку Безопасность.
Нажмите кнопку Дополнительно и перейдите на вкладку Аудит.
Выполните одно из следующих действий.
Чтобы настроить аудит для новой группы или пользователя, нажмите кнопку Добавить. В поле Имя введите имя пользователя и нажмите кнопку ОК, чтобы автоматически открыть диалоговое окно Элемент аудита.
Чтобы просмотреть или изменить параметры аудита для имеющейся группы или пользователя, выберите соответствующее имя и нажмите кнопку Показать/Изменить.
Чтобы отменить аудит для имеющейся группы или пользователя, выберите соответствующее имя и нажмите кнопку Удалить. Пропустите шаги 5, 6 и 7.
|
|
|
Рис. 5.4. Настройка, просмотр, изменение и отмена аудита файла или папки |
При необходимости выберите в списке Применять диалогового окна Элемент аудита объекты для проведения аудита. Список Применять доступен только для папок.
Рис.5.5. Выбор пользователя или группы
В списке Доступ установите флажок Успех, Отказ или оба этих флажка для каждого типа доступа, аудит которого требуется проводить.
Если требуется предотвратить применение этих элементов аудита к файлам и подпапкам в дереве, установите флажок Применять этот аудит к объектам....
Для аудита файлов и папок пользователь должен войти в систему под именем, входящим в группу «Администраторы», или обладать в групповой политике правом Управление аудитом и журналом безопасности.
Аудит файлов и папок можно проводить только на дисках, отформатированных в файловой системе NTFS.
Если флажки в списке Доступ окна Элемент аудита затенены или в диалоговом окне Параметры управления доступом недоступна кнопка Удалить, значит, параметры аудита унаследованы от родительской папки.
Рис.5.6. Настройка параметров аудита для отдельных
пользователей и групп
Так как размер журнала безопасности ограничен, файлы и папки для проведения аудита следует выбирать аккуратно. Также следует решить, какой объем дискового пространства следует отвести под хранение журнала безопасности. Максимальный размер задается в окне просмотра событий.