Secret Net 2000. Автономный вариант. Руководство по администрированию
Регистрация событий
Все события, происходящие на компьютере с установленной системой Secret Net 2000 и имеющие отношение к безопасности, регистрируются в журнале безопасно-
сти Windows 2000.
В состав Secret Net 2000 входит специальная программа, предназначенная для работы с журналом безопасности (см. стр. 110). Каждое зарегистрированное событие отображается в этой программе в виде отдельной записи и содержит подробную информацию, необходимую для анализа события.
Для настройки механизма регистрации событий необходимо:
•настроить параметры журнала безопасности;
•составить общий перечень событий, регистрируемых в системе до идентификации пользователя (этот перечень действует для всех пользователей компьютера);
•составить персональный перечень регистрируемых событий для каждого пользователя.
Настройка параметров журнала безопасности
Параметрами журнала безопасности являются его максимально допустимый размер в килобайтах и порядок (срок) хранения информации.
Для настройки параметров журнала безопасности:
1. Вызовите окно настройки общих параметров и перейдите к диалогу "Журнал":
Укажите максимально допустимый размер для файла журнала
Выберите способ очистки журнала в случае его переполнения: автоматический или ручной
Рис. 26. Настройка параметров журнала безопасности
2.Установите значение максимального размера журнала и укажите механизм очистки журнала при его переполнении (при превышении максимального значения).
По мере |
При переполнении журнала система автоматически удаляет из жур- |
необходимости |
нала необходимое количество самых старых записей |
66
Глава 6. Настройка механизмов контроля и регистрации
По истечении При переполнении журнала система автоматически удаляет записи,
(N) дней время хранения которых превысило заданный период. Новые записи не будут добавляться, если журнал достиг максимального размера, и в нем нет записей старше заданного периода. Длительность периода хранения записей указывается в поле справа в диапазоне значений от 1 до 365 дней
Ручная очистка После достижения максимального размера записи хранятся в журна- журнала ле. Новые события в журнале не регистрируются. Журнал можно очи-
стить только “вручную” с помощью программы просмотра журналов SnLView. Эта операция должна выполняется периодически по мере накопления записей, чтобы не допустить переполнение журнала, т.к. при выключенном режиме автоматической очистки переполнение журнала может привести к нарушениям в работе системы и вызвать блокировку компьютера.
Обратитевнимание! Дляусилениязащищенностижурналабезопасностиможетбытьвключенпараметр "Блокировка при переполнении системного журнала", что позволяет предотвратить потерю информацииособытияхприпереполнениижурнала(см. стр. 69). Однакоеслииспользуетсяручная очисткажурнала, можетпроизойтиегопереполнениеиаварийноезавершениеработыкомпьютера. Поэтому, выбираяручнойспособочисткижурнала, позаботьтесьоконтролепереполнения.
3. Нажмите кнопку "OK" или "Применить".
Настройка общего перечня регистрируемых событий
Общий перечень регистрируемых событий – это общий для всех пользователей перечень событий, которые регистрируются при входе любого из пользователей в систему до завершения его идентификации. Эти же события будут регистрироваться и для пользователей, подключенных к компьютеру по сети. После идентификации пользователя регистрируются события, указанные в его индивидуальном перечне.
Для настройки перечня регистрируемых событий:
1. В окне настройки общих параметров выберите диалог "Регистрация событий":
В зависимости от того, успешное или неудачное событие нужно зарегистрировать, поставьте отметку в полях “Успех” или “Отказ”, расположенных справа от категории события
Для задания списка событий, подлежащих регистрации, выберите тип события и поставьте отметку в соответствующее поле выключателя слева от названия регистрируемого события
Рис. 27. Диалог "Регистрация событий"
67
Secret Net 2000. Автономный вариант. Руководство по администрированию
2.Отметьте категории событий Windows 2000 и события Secret Net 2000, которые должны регистрироваться в журнала безопасности.
ДлярегистрациисобытийWindows, относящихсяккатегории"Доступкфайламиобъектам", недостаточно установить отметку в одноименном поле данного диалога. Для использования этого режимарегистрациинеобходимонастроитьполитикуаудитакаждогоресурса(файла, папкиидр.).
Чтобынастроитьполитикуаудитаресурса:
•Вызовите окно настройки свойств ресурса, перейдите к диалогу "Безопасность" и нажмите кнопку "Дополнительно". В появившемся окне перейдите к диалогу "Аудит".
•Сформируйте политику аудита ресурса. Для этого добавьте в таблицу "Элементы аудита" группы пользователей или отдельных пользователей и укажите, какие попытки доступа пользователей к ресурсу следует регистрировать. Так, например, чтобы включить регистрацию всех попыток несанкционированного доступа к ресурсу необходимо добавить в таблицу группу "Все" и включить для всех типов доступа регистрацию отказа в доступе.
Следует учитывать, что регистрация событий категории "Доступ к файлам и объектам" примениматолькокресурсам, размещающимсянадискахсфайловойсистемойNTFS.
Подробное описание событий Windows и порядка настройки политики аудита ресурсов содержатсявдокументациикОСWindows 2000, MSDN, атакженаInternet сайтекомпанииMicrosoft.
3. Нажмите кнопку "OK" или "Применить".
Настройка персонального перечня регистрируемых событий
Для каждого пользователя компьютера может быть установлен персональный перечень событий, которые будут автоматически регистрироваться в журнала безопасности после идентификации пользователя.
Для настройки персонального перечня регистрируемых событий:
1. В программе "Проводник" выберите интересующего вас пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Регистрация событий":
В зависимости от того, успешное или неудачное событие нужно зарегистрировать, поставьте отметку в полях “Успех” или “Отказ”, расположенных справа от категории события
Для задания списка событий, подлежащих регистрации, выберите тип события и поставьте отметку в соответствующее поле выключателя слева от названия регистрируемого события
Рис. 28. Диалог "Регистрация событий"
68
Глава 6. Настройка механизмов контроля и регистрации
2.Отметьте категории событий Windows 2000 и события Secret Net 2000, которые необходимо регистрировать в журнале безопасности.
Для регистрации событий Windows категории "Доступ к файлам и объектам" необходимо настроитьполитикуаудитакаждогоресурса, подлежащегоконтролю(см. примечаниевыше).
3.Нажмите кнопку "OK" или "Применить".
Дополнительный аудит
Дополнительный аудит используется для усиления контроля за состоянием журнала безопасности и для регистрации событий, связанных с использованием привилегий и попытками доступа к основным объектам системы.
Для включения дополнительных параметров регистрации:
1. Вызовите окно настройки общих параметров и выберите диалог "Компьютер":
Откройте группу параметров "Дополнительный аудит" и установите отметки рядом с теми из них, которые нужны для расширения аудита
В группу "Другие" входит параметр "Блокировка при переполнении системного журнала"
Рис. 29. Диалог "Компьютер"
2.Установите отметки рядом с нужными параметрами, которые относятся к дополнительному аудиту и контролю переполнения журнала безопасности.
Параметры группы "Дополнительный аудит"
Полный аудит |
Регистрируются события, связанные с использованием привилегий "Ар- |
привилегий |
хивирование файлов и каталогов" и "Восстановление файлов и катало- |
|
гов" |
Аудит основных |
Регистрируются события, связанные с обращением к основным объек- |
объектов |
там ОС Windows 2000 (например, секциям, портам или семафорам) |
Ограничение |
Просмотр журнала безопасности разрешен только пользователям, обла- |
доступа к |
дающим привилегиями Windows 2000 "Управление аудитом и журналом |
системному |
безопасности". Пользователям с правами гостя или не прошедшим ау- |
журналу |
тентификацию запрещается просматривать журнал |
69