Аудит событий в защищенных версиях ос Windows.

В защищенных версиях ОС Windows аудит осуществляется с использованием журнала аудита, который находится в файле windows\System32\Config\secevent.evt. Доступ осуществляется с помощью функции «Просмотр событий» панели управления Windows.

Значения параметров политики аудита могут быть заданы в окне задания значений параметрам локальной политики безопасности, в специальном окне определения значений параметрам аудита и в окне свойств самого журнала аудита событий безопасности при его просмотре.

С помощью задания значений параметрам безопасности и аудита администратор указывает, какие события должны регистрироваться в журнале аудита. Возможна регистрация следующих событий:

• вход пользователей в систему;

• доступ субъектов к объектам;

• доступ к службе каталогов Active Directory;

• изменение политики безопасности;

• использование привилегий;

• отслеживание процессов;

• системные события;

• попытки входа в систему;

• управление учетными записями пользователей и групп;

• доступ к глобальным системным объектам;

• использование прав на архивацию и восстановление объектов.

Для каждой категории регистрируемых событий администратор может указать тип события (успешное и (или) неудачное завершение) либо отменить его регистрацию в журнале аудита. При аудите использования привилегий регистрируются попытки использования не всех возможных привилегий, а лишь тех, которые считаются потенциально опасными с точки зрения разработчиков подсистемы безопасности защищенных версий Windows (например, создание маркерного объекта или создание журналов безопасности).

К системным событиям, которые могут регистрироваться в журнале аудита, относятся:

• перезагрузка операционной системы;

• завершение работы операционной системы;

• загрузка пакета аутентификации;

• запуск процесса входа (Winlogon);

• сбой при регистрации события в журнале аудита;

• очистка журнала аудита;

• загрузка пакета оповещения об изменении в списке пользователей.

Параметрами журнала аудита, которые может изменить администратор, являются максимальный размер журнала и реакция операционной системы на его переполнение.

Для обеспечения безопасности информации необходимо разделить полномочия администратора КС и аудиторов. Для этого необходимо создать отдельную от Администраторов группу аудиторов и включить в нее пользователей с соответсвующими правами, назначить владельцем файла аудита одного из членов группы аудиторов, разрешить полный доступ к файлу аудита членам группы аудиторов и псевдопользователю System, а всем остальным – запретить. Предоставить группе аудиторов привелегии управления аудитом и журналом безопасности, отменив при этом эту привелегию у группы администраторов. Исключить учетные записи аудиторов из группы администраторов.

В результате этих действий просматривать и очищать журнал могут только члены группы аудиторов, а изменять значения параметров политики аудита – только члены группы администраторов.

Недостатки подсистемы аудита защищенных версий операционной системы Windows:

• защита от несанкционированного доступа к файлу аудита обеспечивается только средствами разграничения доступа без применения шифрования;

• отсутствуют простые средства разграничения полномочий администраторов и аудиторов КС;