4.1. Настройка аудита в зависимости от событий, для которых настройка аудита необходима, она может быть одно- или двухэтапным процессом.

Во всех случаях, кроме доступа к объектам, аудит выполняется в одношаговом режиме, при этом требуется определить политику аудита данной категории. Для проведения аудита доступа к объектам необходим еще один шаг – настройка аудита конкретных объектов. Например, задание политики аудита доступа к объектам (первый шаг) не приведет к выполнению аудита всех папок и файлов. Чтобы завершить аудит (второй шаг), необходимо отдельно настроить каждую папку или файл. Перед началом аудита конкретных событий необходимо разрешить аудит той категории, к которой принадлежат эти события. Настройка аудита осуществляется с помощью локальной политики безопасности, имеющейся на каждом компьютере, а также с помощью групповой политики или обеих одновременно.

Если установлена политика аудита домена, то она перекрывает любую другую политику аудита. Рассмотрим процедуру настройки аудита групповой политики применительно к ОС Windows 2000. Здесь для разрешения аудита используется консоль Domain Security Policy (политика безопасности домена). Политика аудита содержит перечень элементов аудита: вход в систему, доступ к объектам, доступ к службе, изменение политики, использование программ, отслеживание программ, фиксация событий, вход в систему событий и управление учетными записями.

Чтобы ввести значения параметров какой-либо политики, необходимо в консоли дважды щелкнуть на ее узле. В открытом дополнительном окне необходимо выбрать параметры политики аудита. Например, для задания аудита доступа к объектам в окне можно отметить один из параметров: успех, неуспех или оба. Введение параметров фиксируется после нажатия кнопки OK. После закрытия консоли локальная политика безопасности в специальном журнале безопасности будет фиксировать записи аудита событий. Для этого журнала с учетом требований аудита необходимо выполнить настройку его размера и поведения в случае переполнения.