- •2. Домашние задания и методические указания по их выполнению
- •2.1. Первое домашнее задание
- •Изучите понятие и свойства аудита ресурсов и событий
- •Планирование политики аудита Понятие о политике аудита
- •Определение событий, подлежащих регистрации
- •Реализация политики аудита
- •Конфигурация аудита
- •Настройка аудита
- •Установка политики аудита
- •Аудит доступа к файлам и папкам
- •Аудит доступа к принтерам
- •2.2. Второе домашнее задание Изучите возможности управления журналом безопасности
- •Просмотр журнала безопасности
- •Управление журналами аудита
- •Параметры для фильтрации и поиска событий. Таблица 5
- •Архивация журналов
- •3. Вопросы к домашним заданиям
- •4. Лабораторные задания и методические указания по их выполнению
- •4.1. Первое лабораторное задание
- •Планирование и настройка политики аудита ресурсов и событий Планирование политики аудита
- •Настройка политики аудита
- •4.2. Второе лабораторное задание
- •Настройка аудита файлов
- •Настройка аудита принтера
- •4.3. Третье лабораторное задание Управление журналом безопасности Просмотр журнала безопасности компьютера и отбора событий
- •Настройка размера и содержимого файла журнала
- •Типы регистрируемых событий Таблица 8
- •5. Указания по выполнению отчета.
- •6. Контрольные вопросы по выполненной работе.
Аудит доступа к файлам и папкам
Если требуется выявить слабые места в защите корпоративной сети, можно установить аудит файлов и папок, расположенных на разделах NTFS. Для аудита доступа пользователей к файлам и папкам прежде всего следует настроить политику аудита на регистрацию доступа к объектам, в том числе файлов и папок. При настройке политики аудита на регистрацию доступа к объектам включается аудит конкретных файлов и папок. При этом также указывается, какие виды доступа, пользователи и группы подлежат аудиту.
В таблице 2 перечислены действия пользователей, вызывающие соответствующие события, что поможет определить, в каких случаях следует включать аудит этих событий.
События для файлов и папок, вызываемые действиями пользователей. Таблица 2
Событие |
Действие пользователя, вызвавшее событие |
Переход в папку/Выполнение файла (Traverse Folder/Execute File) |
Запуск программы или получение доступа к папке при смене текущей папки |
Получение списка файлов/Чтение данных (List Folder/Read Data) |
Просмотр содержимого файла или папки |
Чтение атрибутов (Read Attributes) |
Просмотр атрибутов файла или папки |
Чтение расширенных атрибутов (Read Extended Attributes) |
Просмотр атрибутов файла или папки |
Создание файлов/Запись данных (Create Files/Write Data) |
Изменение содержимого файла или создание новых файлов в папке |
Создание папок/Добавление данных (Create Folders/Append Data) |
Создание папок внутри папок |
Запись атрибутов (Write Attributes) |
Изменение атрибутов файла или папки |
Запись расширенных атрибутов (Write Extended Attributes) |
Изменение атрибутов файла или папки |
Удаление вложенных папок и файлов (Delete Subfolders And Files) |
Удаление файла или папки внутри папки |
Удаление (Delete) |
Удаление файла или папки |
Чтение разрешений (Read Permissions) |
Просмотр прав владельца файла на файл или папку |
Смена разрешений (Change Permissions) |
Изменение прав доступа к файлу или папке |
Смена владельца (Take Ownership) |
Изменить право владельца на файл или папку |
Аудит доступа к принтерам
При необходимости отслеживать использование конкретных принтеров включите аудит доступа к принтерам. Чтобы включить аудит доступа к принтерам, в политике аудита настройте аудит доступа к объектам, что включает принтеры.
Включите аудит конкретных принтеров и укажите, какие виды .доступа регистрировать и какие пользователи будут иметь доступ. Для выбранного принтера аудит включается в той же последовательности, что и при установке параметров аудита файлов и папок.
В таблице 3 перечислены события, аудит которых возможен для принтеров, и соответствующие этим событиям действия пользователей.
События для принтеров, вызываемые действиями пользователей. Таблица3
Событие |
Действие пользователя, вызвавшее событие |
Печать (Print) |
Печать файла |
Управление принтерами (Manage Printers) |
Изменение параметров принтера, приостановка печати, разрешение совместного использования принтера, удаление принтера из системы |
Управление документами (Manage Documents) |
Изменение параметров заданий; приостановка или продолжение печати, изменение порядкового номера в очереди или удаление документов; разрешение совместного использования принтера; изменение параметров принтера |
Чтение разрешений (Read Permissions) |
Просмотр прав доступа к принтеру |
Смена разрешений (Change Permissions) |
Изменение прав доступа к принтеру |
Смена владельца (Take Ownership) |
Смена владельца принтера |