14 Пара. Аудит и мониторинг Windows

(слайд №1)

Аудит

(слайд №2)

Аудит — одно из средств защиты сети Windows, с помощью которого можно отслеживать действия пользователей и другие системные события в сети.

Фиксируются следующие параметры:

• выполненное действие;

• имя пользователя, выполнившего действие;

• дата и время выполнения действия.

Реализация аудита

(слайд №3)

Аудит реализуют на том компьютере, события которого собираются отслеживать. Скажем, для аудита событий, происходящих на главном контроллере домена (например, попыток пользователей зарегистрироваться в сети или изменить учетные записи пользователей), необходимо реализовать аудит на главном контроллере домена.

Для отслеживания событий на любом другом компьютере домена (например, доступа к файлу на сервере) необходимо настроить аудит на этом компьютере.

События заносятся в локальный журнал безопасности компьютера, но пользователь, имеющий административные полномочия на этом компьютере, может просмотреть журнал с любого компьютера.

(слайд №4)

Аудит производится в два этапа.

• Определение стратегии путем выбора событий, подлежащих аудиту, в программе User Manager for Domains. На компьютерах под управлением Windows NT Workstation или на серверах используйте программу User Manager (Диспетчер пользователей).

• Выбор файлов, папок и принтеров, для которых необходим аудит, а также пользователей и групп, действия которых Вы хотите отслеживать. Для установки аудита папок и файлов пользуйтесь программой Windows NT Explorer (Проводник); аудит принтеров устанавливается в окне Printers (Принтеры).

Политика аудита системы

(слайд №5)

Настройка политик аудита — важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена для протоколирования определенных событий, относящихся к системе безопасности.

Политики аудита определяют, какие именно события в области безопасности системы должны регистрироваться в журнале "Безопасность".

Процесс аудита безопасности настраивается с помощью групповых политик. Параметры аудита безопасности находятся в разделе "Параметры безопасности — Локальные политики — Политики аудита" любого объекта групповых политик.

На рисунке изображены стандартные политики аудита для организационного подразделения "Контроллеры домена".

Рассмотрим параметры этого раздела:

• Аудит входа в систему регистрирует события, связанные с регистрацией пользователя на данном компьютере, окончанием сеанса работы и удаленными соединениями с сетевыми системами;

• Аудит доступа к объектам регистрирует попытки доступа пользователей к различным объектам — файлам, папкам, принтерам и объектам Active Directory;

• Аудит доступа к службе каталогов регистрирует доступ к Active Directory;

• Аудит изменения политики регистрирует изменения разрешений доступа пользователей, аудита и доверительных отношений;

• Аудит использования привилегий регистрирует применение разрешений доступа и привилегий пользователя (например, использование прав резервного копирования файлов и каталогов);

• Аудит отслеживания процессов регистрирует системные процессы и ресурсы, используемые процессами;

• Аудит системных событий регистрирует запуск, выключение и перезагрузку системы, а также действия, влияющие на безопасность системы или на журнал безопасности;

• Аудит событий входа в систему регистрирует события, связанные с регистрацией пользователя в домене;

• Аудит управления учетными записями регистрирует управление учетными записями посредством консоли "Active Directory - пользователи и компьютеры" (события генерируются каждый раз, когда учетные записи пользователя, компьютера или группы создаются, изменяются или удаляются).