4. Служба учета

Аудит – это отслеживание всех событий по контролю доступа к системе и обеспечения ее безопасности. Microsoft определяет событие как любой значительный случай в ОС и ее приложениях, о которых требуется оповестить пользователей (особенно администратора). События фиксируются в журнале событий. Аудит дает возможность отслеживания успеха или отказа определенных событий. Например, можно проводить аудит попыток зарегистрироваться, отслеживая, кто удачно зарегистрировался и когда, а чья попытка была неудачной. Можно также отслеживать доступ к определенной папке или файлу, наблюдая, кто из пользователей ими пользуются и какие задачи с ними выполняют.

Существует несколько категорий событий, по которым проводится аудит.

1. Регистрация события с помощью учетных записей – отслеживание регистрации, подключения и отсоединения пользователей.

2. Управление учетными записями – отслеживание, когда учетная запись создается, изменяется или аннулируется, устраняется или изменяется пароль.

3. Событие регистрации - отслеживание событий регистрации и предъявления полномочий, таких как сетевое использование ресурсов или регистрация подключений к удаленной службе с помощью учетной записи локальной системы.

4. Доступ к объектам – отслеживание доступа к объектам и типы этого доступа. Например, использования папок, файла, принтера.

5. Изменение политики – отслеживание изменений прав пользователей или политики аудита.

6. Использование полномочий – отслеживание событий, когда пользователь применил право, которое не связано с регистрацией и отключением.

7. Отслеживание процессов – отслеживание событий, связанных с выполнением процессов, например выполнением программ.

8. Системные события – отслеживание таких системных событий, как перезапуск, запуск, выключение или событий, которые воздействуют на безопасность системы.