Аудит событий в локальной системе

Аудит (audit) — это процесс, позволяющий фиксировать некритические события, происходящие в операционной системе и имеющие отношение к ее поведению, в первую очередь — к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Мониторинг таких событий (помимо "стандартных" событий, регистрирующихся в системных журналах) может быть важен для анализа изменений в состоянии системы в процессе ее эксплуатации.

При настройке аудита администратор сам выбирает, какие события должны отслеживаться. Информация о таких событиях будет заноситься в обычный журнал событий операционной системы. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Полученную в результате информацию (журнал Безопасность (Security)) можно просматривать с помощью оснастки Просмотр событий (Event Viewer). Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.

В зависимости от поставленной задачи настройка аудита может выполняться как в один, так и в два приема:

1. Сначала аудит следует активизировать с помощью оснасток Локальная политика безопасности (Local Security Settings) или Редактор объектов групповой политики (Group Policy Object Editor). При этом необходимо определить набор (тип) отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Для многих системных событий достаточно одной этой операции активизации аудита, и их регистрация в журнале начинается немедленно.

2. На втором шаге следует указать, какие конкретно объекты необходимо подвергнуть аудиту, и для каких групп или пользователей он будет осуществляться. Эта операция выполняется в окне свойств этих объектов, где задаются разрешения на доступ (для этого редактируются так называемые списки управления доступом (Access Control List, ACL) — см. далее). Для разных объектов — файлов или реестра — используемый при этом пользовательский интерфейс будет различаться, но непринципиально.

Включение аудита

Для активизации аудита на автономном компьютере (или компьютере — члене рабочей группы) выполните следующие действия:

1. Запустите оснастку Локальная политика безопасности (Local Security Settings). Можно также воспользоваться оснасткой Редактор объектов групповой политики (Group Policy Object Editor).

2. На панели структуры откройте узел Локальные политики | Политика аудита (Local Policies | Audit Policy).

3. На правой панели отображается список имеющихся политик аудита. Выполните двойной щелчок на имени изменяемой политики аудита — появится диалоговое окно, с помощью которого можно разрешить или запретить аудит. В группе Вести аудит следующих попыток доступа (Audit these attempts) установите флажки Успех (Success) или Отказ (Failure) или оба.

4. Нажмите кнопку OK.

Подобную операцию следует повторить для тех политик аудита, которые требуется активизировать. Для того чтобы отключить аудит некоторых событий, достаточно снять флажки Успех (Success) и Отказ (Failure).

Операция включения аудита для компьютеров, входящих в домен, будет аналогичной — только нужно будет сначала выбрать объект групповых политик (GPO), связанный с доменом или организационным подразделением (OU).

Настройка и просмотр параметров аудита для папок и файлов

Для того чтобы настроить, просмотреть или изменить параметры аудита файлов и папок, требуются следующие действия:

1. В окне программы Проводник (Windows Explorer) выберите нужный файл или папку, откройте окно свойств и перейдите на вкладку Безопасность (Security).

2. На вкладке Безопасность (Security) нажмите кнопку Дополнительно (Advanced), а затем откройте вкладку Аудит (Auditing). Обычно эта вкладка пуста, и операцию следует продолжить. Чтобы включить аудит для учетных записей пользователей или групп, нажмите кнопку Изменить (Edit), а в открывшемся окне — кнопку Добавить (Add).

При добавлении записей, для которых будет вестись аудит, появляется

стандартное окно выбора учетных записей — выберите нужную запись и нажмите кнопку OK. Откроется окно Элемент аудита (Auditing Entry), где нужно установить все требуемые параметры аудита для указанной записи. В списке Применять (Apply onto) укажите, где именно следует выполнять аудит (это поле ввода доступно только для папок). На панели Доступ (Access) укажите, какие события нужно отслеживать: окончившиеся успешно (Успех (Successful)), неудачно (Отказ (Failed)) или оба типа событий. Флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Apply these auditing entries to objects and/or containers within this container only) определяет, нужно ли распространять введенные настройки аудита на файлы и папки, находящиеся только в выбранной папке (и не глубже).

По умолчанию аудит будет распространяться на все вложенные объекты.

Если это не требуется, установите данный флажок (или выберите в спи-

ске Применять (Apply onto) опцию Только для этой папки (This folder only)). Это позволит не выполнять аудит для тех вложенных объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку OK, чтобы закрыть все диалоговые окна.

После всех выполненных действий все события доступа к выбранным объектам файловой системы будут регистрироваться в журнале безопасности, для которого лучше создать настраиваемое представление, фильтрующее нужные события.

Отключение аудита для выбранных объектов

Чтобы отключить аудит для некоторого файла или папки, достаточно удалить все записи аудита в окне дополнительных параметров этого объекта Если кнопка Удалить (Remove) недоступна, это значит, что настройки аудита наследуются от родительской папки, и нужно менять иерархию наследования (т. е. изменять параметры аудита родительских объектов).