logo
не все но почти

29. Аудит локальной системы.

  • Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной системе и имеющие отношение к безопасности: например, регистрация в системе или попытки создания объекта файловой системы, получения к нему доступа или удаления. Информация о подобных событиях заносится в файл журнала событий операционной системы.

  • После включения аудита операционная система Windows начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию (журнал Безопасность) можно просматривать с помощью оснастки «Просмотр событий». В процессе настройкиаудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.

  • В зависимости от типа регистрируемых событий настройка аудита можетвыполняться как в один, так и в два приема.

    1. Сначала его следует активизировать с помощью оснастки «Локальная политика безопасности» или «Групповая политика». (По умолчанию аудит отключен, поскольку он несколько снижает производительность системы.) При этом необходимо определить набор (тип) отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Для многих системных событий этой операции достаточно, и их регистрация начинается немедленно.

    2. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту, и для каких групп или пользователей он будет осуществляться. Эта операция выполняется с помощью «Редактора списков управления доступом» в окне свойств этих объектов. Для разных объектов — файлов, реестра или объектов каталога ActiveDirectory — используемый при этом пользовательский интерфейс будет непринципиально различаться.