Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4603 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Уфимский Государственный Авиационный Технический Университет
Предмет:
Защита информации
Файл:
Secret Net - Guides for Workstations & Servers / Security Client for Windows 2000 / Client for Windows 2000 WS&S - Adm Guide / Client for Windows 2000 WS&S - Adm Guide.pdf
Скачиваний:
83
Добавлен:
02.05.2014
Размер:
4.92 Mб
Скачать
►Содержание►

Secret Net 2000. Руководство по администрированию

Регистрация событий

Все события, происходящие на компьютере с установленной системой Secret Net 2000 и имеющие отношение к безопасности, регистрируются в локальном журнале, называемом журналом безопасности. Каждое зарегистрированное событие в журнале отображается в виде отдельной записи и содержит подробную информацию, необходимую для анализа события.

Для того чтобы администратор в локальном режиме мог просматривать и анализировать нужную ему информацию, необходимо предварительно выполнить настройки:

задать параметры журнала безопасности;

составить общий перечень событий, регистрируемых в системе до идентификации пользователя (этот перечень действует для всех пользователей системы);

составить персональный перечень регистрируемых событий для каждого пользователя.

Настройка параметров журнала безопасности

Параметрами журнала безопасности являются его размер в килобайтах и порядок (срок) хранения информации.

Для настройки параметров журнала безопасности:

1. Вызовите окно настройки общих параметров и выберите диалог "Журнал":

Укажите требуемый размер журнала

Выберите способ очистки журнала в случае его переполнения: автоматический или ручной.

Рис. 36. Настройка параметров журнала безопасности

2.Установите значение максимального размера журнала и укажите механизм очистки журнала при его переполнении. Более подробная информация о параметрах журнала и рекомендации по их настройке приведены в справочной системе.

90

Глава 7. Настройка механизмов контроля и регистрации

Обратите внимание! Для усиления защищенности журнала безопасности может быть включен параметр "Блокировка при переполнении системного журнала", что должно предотвратить потерю информации о событиях, зарегистрированных в журнале в случае его переполнения (см. стр. 92). Однако при использовании процедуры ручной очистки журнала может произойти его переполнение и аварийное завершение работы компьютера. Это необходимо иметь в виду при выбореручногоспособаочисткижурнала.

3. Нажмите кнопку "OK" или "Применить".

Настройка общего перечня регистрируемых событий

Общий перечень регистрируемых событий – это те события, которые регистрируются при входе пользователей в систему. Соответствующий этому перечню режим регистрации будет действовать до тех пор, пока пользователь не завершит вход в систему, после чего начнет действовать установленный для него индивидуальный режим регистрации событий. Кроме того, данный режим регистрации будет действовать для всех пользователей, подключенных к компьютеру по сети, до завершения интерактивного входа пользователя.

Для настройки перечня регистрируемых событий:

1. В окне настройки общих параметров выберите диалог "Регистрация событий":

В зависимости от того, успешное или неудачное событие нужно зарегистрировать, поставьте отметку в полях “Успех” или “Отказ”, расположенных справа от категории события

Для задания списка событий, подлежащих регистрации, выберите тип события и поставьте отметку в соответствующее поле выключателя слева от имени регистрируемого события

2.Отметьте категории событий Windows и события Secret Net , которые должны регистрироваться в локальном журнале безопасности.

91

Secret Net 2000. Руководство по администрированию

ДлярегистрациисобытийWindows, относящихсяккатегории"Доступкфайламиобъектам", недостаточно установить отметку в одноименном поле данного диалога. Для использования этого режимарегистрациинеобходимонастроитьполитикуаудитакаждогоресурса(файла, папкиидр.).

Чтобынастроитьполитикуаудитаресурса:

Вызовите окно настройки свойств ресурса, перейдите к диалогу "Безопасность" и нажмите кнопку"Дополнительно". Впоявившемсяокнеперейдитекдиалогу"Аудит".

Сформируйте политику аудита ресурса. Для этого добавьте в таблицу "Элементы аудита" группы пользователей или отдельных пользователей и укажите, какие попытки доступа пользователей к ресурсу следует регистрировать. Так, например, чтобы включить регистрацию всех попыток несанкционированного доступа к ресурсу необходимо добавить в таблицу группу"Все" ивключитьдлявсехтиповдоступарегистрациюотказавдоступе.

Следует учитывать, что регистрация событий категории "Доступ к файлам и объектам" примениматолькокресурсам, размещающимсянадискахсфайловойсистемойNTFS.

Подробное описание событий Windows и порядка настройки политики аудита ресурсов содержатсявдокументациикОСWindows 2000, MSDN, атакженаInternet сайтекомпанииMicrosoft.

3. Нажмите кнопку "OK" или "Применить".

Дополнительный аудит

Дополнительный аудит используется для усиления контроля состояния журнала безопасности, а также для регистрации событий, связанных с изменением привилегий и попытками доступа к основным объектам системы.

Для включения дополнительных параметров регистрации:

1. Вызовите окно настройки общих параметров и выберите диалог "Компьютер":

Откройте группу параметров "Дополнительный аудит" и установите отметки рядом с теми из них, которые нужны для расширения аудита

В группу "Другие" входит параметр "Блокировка при переполнении системного журнала"

2.Установите отметки рядом с нужными параметрами, которые относятся к дополнительному аудиту (параметры группы "Дополнительный аудит") и контролю переполнения журнала безопасности (параметр "Блокировка при переполнении системного журнала" в группе "Другие").

92

Глава 7. Настройка механизмов контроля и регистрации

Параметры группы "Дополнительный аудит"

Полный аудит

Регистрируются события, связанные с изменением привилегий "Архи-

привилегий

вирование файлов и каталогов" и "Восстановление файлов и катало-

 

гов"

Аудит

Регистрируются события, связанные с обращением к основным объ-

основных

ектам ОС Windows (например, секциям, портам или семафорам)

объектов

 

Ограничение

Просмотр журнала безопасности Windows разрешен только пользова-

доступа к

телям, обладающим привилегией Windows "Управление аудитом и

системному

журналом безопасности". Пользователям с правами гостя или не про-

журналу

шедшим аутентификацию запрещается просматривать журнал

Параметр группы "Другие"

Блокировка

Предотвращает потерю информации в случае переполнения журнала

при

безопасности. Переполнение журнала приводит к аварийному завер-

переполнении

шению работы компьютера

системного

 

журнала

 

3. Нажмите кнопку "OK" или "Применить".

Внимание! Включение параметра "Аудит основных объектов" как отдельно, так и совместно с параметром "Полный аудит привилегий" может быстро привести к переполнению журнала безопасности.

Настройка персонального перечня регистрируемых событий

Для каждого пользователя компьютера может быть установлен персональный перечень событий, которые будут автоматически регистрироваться в журнале безопасности после идентификации пользователя.

Для настройки персонального перечня регистрируемых событий:

1. В программе "Проводник" выберите интересующего вас пользователя, вызовите на экран окно настройки свойств и перейдите к диалогу "Регистрация событий":

В зависимости от того, успешное или неудачное событие нужно зарегистрировать, поставьте отметку в полях “Успех” или “Отказ”, расположенных справа от категории события

Для задания списка событий, подлежащих регистрации, выберите тип события и поставьте отметку в соответствующее поле выключателя слева от имени регистрируемого события

93

Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности