- •1. Классификация программного обеспечения
- •1. Базовое программное обеспечение
- •2. Трансляторы
- •3. Языки программирования
- •4. Инструментальные средства (утилиты)
- •5. Прикладное программное обеспечение
- •2. Основные задачи ос
- •3. Типы ос
- •4. Базовая система ввода/вывода (bios)
- •5. Файловая система. Типы файловых систем. Их особенности.
- •6. Загрузчик ос
- •Addr1 - addr2
- •7. Ядро ос
- •8. Основные функции ядра
- •9. Драйвер ос
- •10. Типы драйверов
- •11. Типы многозадачности, их особенности
- •12. Понятие суперпроцесса
- •13. Потоки
- •Листинг 2. Окончание процедуры инициализации ядра Linux
- •14. Семафоры
- •15. Встроенные функции ос. Встроенные команды ос
- •16. Внешние команды
- •17. Понятие пользователя. Понятие идентификатора пользователя
- •18. Понятие группы. Понятие идентификатора группы
- •19. Виртуальная память. Swap
- •20. Историческое развитие ос
- •21. Ос unix
- •22. Типы unix
- •23. Особенности bsd. Особенности System 5
- •24. Ядро unix
- •25. Типы драйверов unix
- •26. Потоки в unix
- •27. Управление процессами в unix
- •28. Режимы ядра в Unix
- •29. Файловая система в unix
- •30. Реализация безопасности в unix на уровне файловой системы
- •31. Реализация безопасности в unix на уровне ос
- •32. Понятие пользователь, группа в unix
- •33. Бесправный пользователь. Пользователь ресурса. Пользователь ос
- •34. Понятие ресурса
- •35. Понятие консоли.
- •36. Основные команды в unix
- •37. Сеть в unix
- •38. Ос ms-dos
- •39. Особенности реализации ms-dos, как составной части unix
- •40. Реализация ядра в ms-dos
- •41. Реализация драйверов в ms-dos
- •42. Реализация потоков в ms-dos
- •43. Управление процессами в ms-dos
- •44. Ограничение на использование оп
- •45. Файловая система в ms-dos
- •46. Реализация безопасности в ms-dos
- •47. Реализация многозадачности в ms-dos
- •48. Встроенные команды ms-dos
- •49. Внешние стандартные команды ms-dos
- •50. Графическая оболочка X- Window
- •51. Графическая оболочка Windows
- •52. Ос Windows nt
- •53. Ядро Windows nt
- •54. Драйверы в Windows nt
- •55. Реализация многозадачности в Windows nt
- •56. Файловая система в Windows nt
- •57. Режимы использования оп в Windows nt
- •58. Реализация безопасности в Windows nt на уровне файловой системы
- •59. Реализация безопасности в Windows nt на уросне ос
- •1. Пользователи, ресурсы и операции доступа
- •2. Локальные, глобальные и специальные группы
- •3. Встроенные группы пользователей и их права
- •4. Возможности пользователей
- •5. Управление профилями пользователей
- •6. Аудит
- •7. Репликация каталогов в сети Windows nt
- •60. Сеть в Windows nt
- •1. Однодоменная сеть Windows nt
- •2. Многодоменная сеть Windows nt
6. Аудит
Назначение аудита
Аудит - это функция Windows NT, позволяющая отслеживать деятельность пользователей, а также все системные события в сети. С помощью аудита администратор получает информацию
о выполненном действии,
о пользователе, который выполнил это действие,
о дате и времени выполнения действия.
Администратор использует политику аудита (Audit Policy) для выбора типов событий, которые нужно отслеживать. Когда событие происходит, в журнал безопасности того компьютера, на котором оно произошло, добавляется новая запись. Журнал безопасности является тем средством, с помощью которого администратор отслеживает наступление тех типов событий, которые он задал.
Политика аудита контроллера домена определяет количество и тип фиксируемых событий, происходящих на всех контроллерах домена. На компьютерах Windows NT Workstation или Windows NT Server, входящих в домен, политика аудита определяет количество и тип фиксируемых событий, происходящих только на данном компьютере.
Администатор может установить политику аудита для домена для того, чтобы:
отслеживать успешные и неуспешные события, такие как логические входы пользователей, чтение файлов, изменения в разрешениях пользователей и групп, выполнение сетевых соединений и т.п.;
исключить или минимизировать риск неавторизованного использования ресурсов;
анализировать временные тенденции, используя архив журнала безопасности.
Аудит является частью системы безопасности. Когда все средства безопасности отказывают, записи в журнале оказываются единственным источником информации, на основании которой администратор может сделать выводы о том, что произошло или готовится произойти в системе.
Установление политики аудита является привилегированным действием: пользователь должен либо быть членом группы Administrators на том компьютере, для которого устанавливается политика, либо иметь права Manage auditing and security log.
Реализация политики аудита
Политика аудита устанавливается отдельно для каждого компьютера. Например, для аудита логического входа пользователей в домен необходимо установить политику аудита на PDC (эта же политика определена и для всех BDC домена). Для наблюдения за доступом к файлам на сервере домена - member server- необходимо установить политику аудита на этом сервере.
События записываются в журнал определенного компьютера, но могут просматриваться из любого компьютера сети пользователем, который имеет права администратора на тот компьютер, где произошло событие.
Установка политики аудита включает два этапа:
определение политики аудита с помощью панели Audit Policy утилиты User Manager for Domains или User Manager;
определение каталогов, файлов и принтеров, доступ к которым необходимо отслеживать. Для этого используется Windows NT Explorer или панель Printers. Наблюдение за файлами и каталогами возможно только для файловой системы NTFS.
Просмотр журнала событий осуществляется с помощью утилиты Event Viewer (журнал Security).