Раздел: Документация
0 ... 51 52 53 54 55 56 57 ... 125 Domain: ONO С Do Not Audit t f« A.udit These Events:................ iLogon and Logoff IFile and Object Access !Use of User Rights :User and Group Management Security Policy Changes \Restart, Shutdown, and System iProcess Tracking Success W P W P W F F Failure F F F F F F F OK Cancel I help I Рис. 8.1. Диалоговое окно Audit Policy служит для настройки регистрируемых событий Диалоговое окно Audit Policy, изображенное на рис. 8.1, позволяет определять политику аудита для всего домена. Windows NT Server устанавливается либо как автономный сервер, либо как контроллер домена. В первом случае заданная вами политика аудита будет применяться только к этому серверу. Но политика аудита, предназначенная для NT Server, функционирующего в качестве контроллера домена, распространяется на весь домен. По этой причине (и по многим другим) не следует использовать укрепленный компьютер в качестве контроллера домена Windows NT. В табл. 8.3 приводится краткое описание каждого из регистрируемых событий. Таблица 8.3. События, регистрация которых настраивается в User Manager СобытиеОписание ........................... Logon and Logoffоход пользователей в систему и выход из нее, а также вход в систему с удаленного компьютера File and Object Access Доступ к файлам и каталогам и отправка заданий на принтер. При этом требуется дополнительно определить файлы, каталоги и принтеры, доступ к которым будет регистрироваться Use of User RightsИспользование предоставленных пользователю прав User and GroupИзменения групп. Создание, удаление и переименование групп Management пользователей, а также изменение паролей Security Policy Changes Изменения прав пользователей и доверительных связей или настроек аудита Restart, ShutdownПерезапуск и завершение работы системы и другие события, связанные and Systemс ее безопасностью. Эта категория также включает в себя изменения в событии log on the system. Process TrackingБольшой абьем информации о пользовательских процессах, время запуска программ и выхода из них, доступ к объектам Последнее событие в табл. 8.3, Process Tracking, создает большое число записей. На укрепленном сервере в демилитаризованной зоне следует включать регистрацию всех типов событий, однако фиксирование событий этого типа для log-файлов потребует внушительного объема дискового пространства. Поэтому лучше включать регистрацию таких событий только при исследовании специфической угрозы безопасности, если вам необходим для этого большой объем детальной информации о работе программы. После выбора регистрируемых событий операционная система начнет создавать записи в Event Log для всех выбранных типов событий, перечисленных в табл. 8.3, кроме событий типа File and Object Access. Если вы хотите регистрировать и события этого типа, вам понадобится дополнительно указать объекты, доступ к которым должен регистрироваться, с помощью Windows Explorer (для файлов и каталогов) или Print Manager (для принтеров). Во-первых, следует выбрать каталоги и файлы, доступ к которым вы намереваетесь регистрировать. Во-вторых, необходимо определить, доступ какого типа должен регистрироваться. Затем для включения регистрации применяется Windows NT Explorer. Включение аудита для файла или каталога 1.Выберите Start => Programs => Windows NT Explorer. 2.Щелкните правой кнопкой мыши по нужному файлу или каталогу либо выделите имя файла или каталога, щелкнув по нему левой кнопкой мыши, и отметьте пункт Properties в меню File. Появится диалоговое окно Properties Sheet (Список свойств) для указанного объекта. Выделите в нем закладку Security (Безопасность). 3.Щелкните мышью по кнопке Auditing. Откроется диалоговое окно Directory (или File) Auditing - см. рис. 8.2. 4.В поле Events to Audit установите флажки Success и Failure, соответствующие выбранным событиям. 5.Если вы хотите, чтобы эти изменения распространились и на подкаталоги, поставьте флажок Replace Auditing on Subdirectories (Заменить настройки аудита для подкаталогов). 6.Если нужно, чтобы эти изменения затронули и уже существующие в каталоге файлы (и подкаталоги), установите флажок Replace Auditing on Existing Files (Заменить настройки аудита для существующих файлов). 7.Щелкните мышью по кнопке Add (добавить). Развернется диалоговое окно Add Users and Groups (Добавить пользователей и группы) - см. рис. 8.3. 8.Чтобы выбрать группу пользователей, щелкните мышью по имени группы, а затем по кнопке Add. Группа появится в поле Add Names в нижней части диалогового окна. Duectoiy Auditing Directory: C:\history P Replace Auditing on Subdirectories P Replace Auditing on Existing F3es Name: OK Cancel Add.. $t Domain Admins - Events to Audit Rernove Help
Рис. 8.2. Выберите события, которые будут регистрироваться для данного файла или каталога Add U sets and Gioups \ju Names Front Hames: £0N0 Account Operators Administrators Authenticated Users SBackup Operators 4CREAT0R OWNER Domain Admins Domain Guests Domain Users Members can administer domain user ai Members can fully administer the compi All authenticated users Members can bypass file security to bat The user who creates this object Designated administrators of the domain All domain guests All domain users I ShowLjsers1 jjj Search j Add Names: OK Cancel IHelp Рис. 8.3. Выберите пользователей и группы, доступ которых к файлу или каталогу будет регистрироваться 0 ... 51 52 53 54 55 56 57 ... 125
|
