Файловый архив студентов. Файловый архив студентов.
1259 вузов, 4592 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Луганский национальный аграрный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
19. Аудит, квота. Права доступу..doc
Скачиваний:
1
Добавлен:
16.09.2019
Размер:
133.63 Кб
Скачать
►Содержание►

19. Аудит, квота. Права доступу.

Аудит локальной системы

Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Информация о подобных событиях заносится в файл журнала событий операционной системы. После включения аудита операционная система Windows ХР начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию (журнал Безопасность) можно просматривать с помощью оснастки Просмотр событий. В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия. Настройка аудита может выполняться как в один, так и в два приема:

1. Сначала его следует активизировать с помощью оснастки Локальная политика безопасности (Local Security Settings) или Групповая политика (Group Policy). (По умолчанию аудит отключен, поскольку он несколько снижает производительность системы.) При этом необходимо определить набор (тип) отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой сис­темы и т. д. Для многих системных событий этой операции достаточно, и их регистрация начинается немедленно.

2. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту, и для каких групп или пользователей он будет осуществляться. Эта операция выполняется с помощью Редактора списков управления доступом (АCL) в окне свойств этих объектов. Для разных объектов — файлов, реестра или объектов каталога Active Directory — используемый при этом пользовательский интерфейс будет непринципиально различаться.

Примечание:

Для того чтобы иметь возможность настраивать аудит, необходимо иметь права администратора.

Активизация аудита

Для активизации аудита на изолированном компьютере:

1. Запустите оснастку Локальная политика безопасности (Local Security Setting). Можно также воспользоваться оснасткой Групповая политика (Group Policy) (введите в командной строке gpedit.msc).

2. В окне структуры откройте узел Локальные политики | Политика аудита (Local Polcies | Audit Policy).

3. На правой панели появится список политик аудита. По умолчанию все они имеют значение Нет аудита (N0 Auditing). Для включения аудита следует изменить значения нужных параметров. Выполните двойной щелчок на устанавливаемой политике аудита. Появится диалоговое окно, с помощью которого можно разрешить аудит. В группе Вести аудит следующих попыток доступа (Audit hese attemts установите флажки Успех (Success) или Отказ (Failure), или оба.

4. Нажмите кнопку ОК.

Подобную операцию следует повторить для тех политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, флажки Успех (Success и Отказ (Failure) следует снять.

Настройка и просмотр параметров аудита для папок и файлов

Чтобы настроить, просмотреть или изменить параметры аудита файлов и папок:

1. В окне программы Проводник (Windows Ехр1огег) установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку. В появившемся контекстном меню выберите команду Свойства (Properties). В окне свойств папки или файла перейдите на вкладку Безопасность (Security).

  1. На вкладке Безопасность (Security) нажмите кнопку Дополнительно (Advansed) и затем перейдите на вкладку Аудит (Auditing).

  2. Если вы хотите проводить аудит для пользователя или группы, на вкладке Аудит (Auditing) нажмите кнопку Добавить (Add). Появится диалоговое окно Выбор: Пользователи или Группы (Select Users or Group). Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется окно Элемент аудита (Auditing Entry. Здесь вы сможете установить все требуемые параметры аудита. В списке Применять (Арр1у onto) укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В окне Доступ (Ассеsse) необходимо указать, какие события нужно отслеживать: окончившиеся успешно (Успех (Successful)), неудачно (Отказ (Failed)) или оба типа событий. Флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Арр1у these auditing entries to objects/or containers within this container only) определяет, нужно ли распространять введенные вами настройки аудита на файлы и папки, находящиеся только в выбранной папке. По умолчанию аудит будет распространяться на все вложенные объекты. В противном случае установите этот флажок (или выберите в списке Применять (Арр1у опto) опцию Только для этой папки) (см. также следующий раздел). Это позволит не выполнять аудит для тех объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все диалоговые окна.

  3. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку Изменить (Edit). Опять появится окно Элемент аудита (Auditing entries). Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений закройте все окна свойств.

Область действия настроек аудита

Аудит, установленный для родительской папки, автоматически наследуется всеми дочерними папками и файлами. Это поведение можно изменять. Если на вкладке Аудит (Auditing) какая-нибудь строка в поле Элементы аудита (Auditing entries) имеет значение Родительский объект (Parent Object) в столб­це Унаследовано от (Inherited From) и кнопка Удалить (Remov) недоступна, это значит, что данные настройки аудита унаследованы. В этом случае вы можете:

  • Изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.

  • Запретить наследование, сняв флажок Наследовать от родительского объекта применимые к дочерним объектам элементы аудита, добавляя их к я>-но заданным в этом окне (Inherit from parent the auditing entries that apply to child objects…).

  • Добавить другие записи аудита для выбранного объекта, нажав кнопку Добавить (Add). Эти настройки аудита могут, в свою очередь, наследо­ваться дочерними объектами этого объекта. В поле Элементы аудита (Auditing entries) новые записи будут иметь значение <не унаследовано> в столбце Унаследовано от.

Область действия аудита настраивается в окне Элемент аудита (Auditing entries), где в раскрывающемся списке Применять (Аррlу onto) можно выбрать—"глубину" распространения настроек аудита. Результирующее действие: течения, введенного в этом поле, зависит также от того, установлен или флажок Применять этот аудит к объектам и контейнерам только внутри этот контейнера. По умолчанию этот флажок снят.

Отключение аудита файлов и папок

Для отключения аудита файла или папки:

  1. Откройте вкладку Аудит (Auditing) для требуемого файла или папки.

  1. В поле Элементы аудита (Auditing entries) выберите нужную запись и нажмите кнопку Удалить (Remove). Аудит для соответствующего пользователя или группы вестись не будет. Если в этом поле не остается ни одной записи, это означает, что аудит данного файла или папки отключен пол­ностью.

Примечание.

Если кнопка Удалить (Remove) недоступна, это значит, что настройки аудита наследуются от родительской папки.

Выполнение заданий по расписанию

В дополнение к командам AT системы Windows ХР располагают новым средством — планировщиком заданий. (Имеется также новая утилита командной строки — Schtaks.ехе, имеющая значительно больше функциональных возможностей по сравнению с AT.) С помощью планировщика заданий можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедель­но или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать достаточно сложное расписание для выполнения заданий, в кото­ром задаются продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п.

Задание сохраняется как файл с расширением job, что позволяет перемешать его с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удаленно, кроме того, задания можно пересылать по электронной почте.

Служба Планировщик заданий (Task Scheduler, имя Schedule) инсталлируется вместе с системой и автоматически запускается при ее загрузке. При помощи меню Дополнительно (Advanced) в окне планировщика заданий можно приостанавливать или запускать снова эту службу. Данное меню позволяет также обращаться к журналу регистрации запланированных и выполненных заданий (команда Просмотр журнала (View Log)), в котором также фикси­руются все ошибки, возникшие при запуске заданий.

Среди особенностей планировщика можно отметить:

  • удобный графический пользовательский интерфейс;

  • возможность программного доступа ко всем возможностям планировщи­ка, включая страницы свойств;

  • создание новых заданий при помощи операции перетаскивания (dragand-drop) или Мастера планирования заданий (Scheduled Task Wizard).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности