Лабораторна робота №11, Політики аудиту у MS Windows XP

« Назад

Мета: Навчитись налагоджувати і використовувати політику аудиту в системі MS Windows XP.

Зауваження. Для виконання завдання лабораторної роботи потрібно зайти в систему з обліковим записом «Администратор» або як член групи «Администраторы».

Теоретичні відомості

1. Основні поняття

Політика аудиту ‑ політика, що визначає події системи безпеки, відомості про які необхідно зберігати для адміністратора мережі.

Дескриптор безпеки - структура даних, що містить відомості про безпеку, пов'язані із захищеним об'єктом. Дескриптори безпеки включають відомості про той, хто є власником об'єкту, хто і яким чином може дістати доступ до об'єкту, а також про те, аудит яких типів доступу вестиметься.

Виборча таблиця управління доступом (DACL) - частина дескриптора безпеки об'єкту, що надає або забороняє доступ до об'єкту для конкретних користувачів або груп. Змінювати дозволи управління у виборчій таблиці доступом може тільки власник об'єкту; таким чином, доступ до об'єкту знаходиться у веденні власника.

Системна таблиця управління доступом (SACL) - частина дескриптора безпеки об'єкту, що визначає перелік подій, що перевіряються, для користувача або групи. Прикладами таких подій є: доступ до файлів, вхід в систему, виключення системи.

Глобальний унікальний ідентифікатор (GUID) - 16-байтне значення, що створюється з використанням унікального ідентифікатора пристрою, поточних значень дати і часу, а також порядкового номера. GUID використовується для визначення конкретного пристрою або компоненту.

2. Політики аудиту

Розташування: вікно «Групповая политика» (лабораторна робота №9):

Конфигурация компьютера\Конфигурация Windows\Параметры безопасности \Локальные политики\Политика аудита

Перед впровадженням аудиту необхідно вибрати політику аудиту. Політика аудиту указує категорії подій для аудиту, пов'язаних з безпекою. При першій установці Windows XP Professional всі категорії аудиту вимкнені. Включаючи аудит різних категорій подій, можна створювати політику аудиту, що задовольняє всім вимогам організації.

Для проведення аудиту можна вибрати наступні категорії подій.

- Аудит подій входу в систему

- Аудит входу в систему

- Аудит управління обліковими записами

- Аудит доступу до служби каталогів

- Аудит зміни політики

- Аудит використання привілеїв

- Аудит відстеження процесів

- Аудит системних подій

- Аудит доступу до об'єктів

Якщо вибраний аудит доступу до об'єктів як частина політики аудиту, необхідно включити або категорію аудиту доступу до служби каталогів (для аудиту об'єктів на контролері домена), або категорію аудиту доступу до об'єктів (для аудиту об'єктів на рядовий сервер або робочу станцію). Після включення категорії доступу до об'єктів можна вказати для кожної групи або користувача, для яких типів доступу проводити аудит.

2.1. Типи подій

2.1.1. Аудит успіхів

Подія, відповідна успішно завершеній дії, пов'язаній з підтримкою безпеки системи. Наприклад, у разі успішного входу користувача в систему, в журнал заноситься подія з типом «Аудит успіхів».

2.1.2. Аудит відмов

Подія, відповідна невдало завершеній дії, пов'язаній з підтримкою безпеки системи. Наприклад, у разі невдалої спроби доступу користувача до мережного диска в журнал заноситься подія типу «Аудит відмов».

Служба журналів подій запускається автоматично при запуску Windows. Всі користувачі можуть проглядати журнали додатків і системи. Журнали безпеки доступні тільки системному адміністраторові.

За умовчанням відомості в журнал безпеки не заносяться. Для включення запису подій в журнал безпеки можна скористатися компонентом «Групповая политика». Адміністратор може налагодити параметри реєстру для політики аудиту так, що робота системи припинятиметься у разі неможливості подальшого запису відомостей в журнал безпеки.

2.2. Аудит подій входу в систему

Аудит подій входу в систему визначає, чи підлягає аудиту кожна спроба користувача увійти до системи або вийти з неї на іншому комп'ютері, за умови, що цей комп'ютер використовується для перевірки достовірності облікового запису.

Якщо цей параметр політики визначений, можна задати аудит успіхів або відмов, або взагалі відключити аудит подій даного типу. Аудит успіхів означає створення запису аудиту для кожної успішної спроби входу в систему. Аудит відмов означає створення запису аудиту для кожної невдалої спроби входу в систему. Щоб відключити аудит, в діалоговому вікні Свойства даного параметра політики встановіть прапорець Определить следующие параметры политики і зніміть прапорці Успех і Отказ.

Якщо аудит успішних спроб входу в систему включений на контролері домена, в журнал заноситиметься запис про кожного користувача, що пройшов перевірку на цьому контролері домена, не дивлячись на те, що користувач насправді входить в систему на робочій станції домена.

За умовчанням:

- «Немає аудиту» для контролерів домена;

- Аудит не визначений для рядового комп'ютера домена.

2.3. Аудит входу в систему

Аудит входу в систему визначає, чи підлягає аудиту кожна спроба користувача увійти до системи або вийти з неї на даному комп'ютері, або підключитися до нього через мережу.

Якщо на контролері домена ведеться облік успішних спроб для політики «Аудит событий входа в систему», спроби входу в систему на робочих станціях не підлягатимуть аудиту. Події входу в систему реєструються тільки при спробах інтерактивного і мережного входу на сам контролер домена. Події входу в систему для облікового запису створюються на комп'ютері, де зберігається обліковий запис; події входу створюються при спробах виконати вхід.

Якщо цей параметр політики визначений, можна задати аудит успіхів або відмов або взагалі відключити аудит подій даного типу. Аудит успіхів означає створення запису аудиту для кожної успішної спроби входу в систему. Аудит відмов означає створення запису аудиту для кожної невдалої спроби входу. Щоб відключити аудит, в діалоговому вікні Свойства даного параметра політики встановіть прапорець Определить следующие параметры политики і зніміть прапорці Успех і Отказ.

За умовчанням відключений.

Додаткові відомості див.: Засоби адміністрування і управління безпекою (лабораторна робота №8).

2.4. Аудит управління обліковими записами

Аудит управління обліковими записами визначає, чи підлягають аудиту всі події, пов'язані з управлінням обліковими записами на комп'ютері (за умовчаннямвідключений). До таких подій відносяться, зокрема, наступні:

- створення, зміна або видалення облікового запису користувача або групи;

- перейменування, відключення або включення облікового запису користувача;

- завдання або зміна пароля.

Якщо цей параметр політики визначений, можна задати аудит успіхів або відмов, або взагалі відключити аудит подій даного типу. Аудит успіхів означає створення запису аудиту для кожної успішної події управління обліковими записами. Аудит відмов означає створення запису аудиту для кожної невдалої події управління обліковими записами. Щоб відключити аудит, в діалоговому вікні Свойства даного параметра політики встановіть прапорець Определить следующие параметры политики і зніміть прапорці Успех і Отказ.

2.5. Аудит доступу до служби каталогів

Визначає, чи підлягає аудиту подія доступу користувача до об'єкту каталогу Active Directory, для якого задана власна системна таблиця управління доступом (SACL).

За умовчанням ця політика відміняє аудит для об'єкту групової політики «Стандартный контроллер домена» і не визначена для робочих станцій і серверів, на яких вона не має сенсу.

Якщо цей параметр політики визначений, можна задати аудит успіхів або відмов, або взагалі відключити аудит подій даного типу. Аудит успіхів означає створення запису аудиту при кожному успішному доступі користувача до об'єкту Active Directory, для якого визначена таблиця SACL. Аудит відмов означає створення запису аудиту при кожній невдалій спробі доступу користувача до об'єкту Active Directory, для якого визначена таблиця SACL. Щоб відключити аудит, в діалоговому вікні Свойства даного параметра політики встановіть прапорець Определить следующие параметры политики і зніміть прапорці Успех і Отказ.

Слід зазначити, що системну таблицю управління доступом для об'єкту Active Directory можна встановити на вкладці Безопасность діалогового вікна Свойства цього об'єкту. Дана політика аналогічна політиці «Аудит доступа к объектам», тільки вона застосовується до об'єктів Active Directory, а не до об'єктів файлової системи і реєстру.

За умовчанням:

- «Немає аудиту» для контролерів домена;

- не визначений для рядового комп'ютера домена.

2.6. Аудит зміни політики

Визначає, чи підлягає аудиту кожен факт зміни політик призначення прав користувачів, політик аудиту або політик довірчих відносин. За умовчанням відключений.

Якщо цей параметр політики визначений, можна задати аудит успіхів або відмов, або взагалі відключити аудит подій даного типу. Аудит успіхів означає створення запису аудиту при кожній успішній зміні політик призначення прав користувачів, політик аудиту або політик довірчих відносин. Аудит відмов означає створення запису аудиту при кожній невдалій спробі зміни політик призначення прав користувачів, політик аудиту або політик довірчих відносин. Щоб відключити аудит, в діалоговому вікні Свойства даного параметра політики встановіть прапорець Определить следующие параметры политики і зніміть прапорці Успех і Отказ.

2.7. Аудит використання привілеїв

Визначає, чи підлягає аудиту кожна спроба користувача скористатися наданим йому правом.

Якщо цей параметр політики визначений, можна задати аудит успіхів або відмов або взагалі відключити аудит подій даного типу. Аудит успіхів означає створення запису аудиту для кожного успішного застосування права користувача. Аудит відмов означає створення запису аудиту для кожного невдалого застосування права користувача. Щоб відключити аудит, в діалоговому вікні Свойства даного параметра політики встановіть прапорець Определить следующие параметры политики і зніміть прапорці Успех і Отказ.

За умовчаннямаудит не виконується для використання наступних прав користувача, навіть якщо заданий аудит успіхів і відмов для параметра «Аудит використання привілеїв».

- Обхід перехресної перевірки

- Відлагодження програм

- Створення маркерного об'єкту

- Заміна маркера рівня процесу

- Створення журналів безпеки

- Архівація файлів і каталогів

- Відновлення файлів і каталогів.

2.8. Аудит відстеження процесів

Визначає, чи підлягають аудиту такі події, як активізація програми, завершення процесу, повторення дескрипторів і непрямий доступ до об'єкту.

Якщо цей параметр політики визначений, можна задати аудит успіхів або відмов, або взагалі відключити аудит подій даного типу. Аудит успіхів означає створення запису аудиту для кожної успішної події, пов'язаної з відстежуваним процесом. Аудит відмов означає створення запису аудиту для кожної невдалої події, пов'язаної з відстежуваним процесом. Щоб відключити аудит, в діалоговому вікні Свойства даного параметра політики встановіть прапорець Определить следующие параметры политики і зніміть прапорці Успех і Отказ.

За умовчаннямвідключений.

2.9. Аудит системних подій

Визначає, чи підлягають аудиту події перезавантаження або відключення комп'ютера, а також події, що впливають на системну безпеку або на журнал безпеки.

Якщо цей параметр політики визначений, можна задати аудит успіхів або відмов, або взагалі відключити аудит подій даного типу. Аудит успіхів означає створення запису аудиту для кожної успішної системної події. Аудит відмов означає створення запису аудиту для кожного невдалого завершення системної події. Щоб відключити аудит, в діалоговому вікні Свойства даного параметра політики встановіть прапорець Определить следующие параметры политики і зніміть прапорці Успех і Отказ.

За умовчаннямвідключений.

2.10. Аудит доступу до об'єктів

Аудит доступу до об'єктів визначає, чи підлягає аудиту подія спроби доступу користувача до об'єкту (наприклад, до файлу, папки, розділу реєстру, принтера і т.д.), для якого вказаний власний список контролю системного доступу (SACL). За умовчаннямвідключений.

Аудит доступу до об'єктів також визначає, чи підлягає аудиту кожна спроба користувача увійти до системи або вийти з неї на даному комп'ютері, або підключитися до нього через мережу.

Якщо на контролері домена ведеться облік успішних спроб для політики Аудит событий входа в систему, спроби входу в систему на робочих станціях не підлягатимуть аудиту. Події входу в систему реєструються тільки при спробах інтерактивного і мережного входу на сам контролер домена. Події входу в систему для облікового запису створюються на комп'ютері, де зберігається обліковий запис; події входу створюються при спробах виконати вхід.

Якщо цей параметр політики визначений, можна задати аудит успіхів або відмов або взагалі відключити аудит подій даного типу. Аудит успіхів означає створення запису аудиту при кожному успішному доступі користувача до об'єкту, для якого визначена таблиця SACL. Аудит відмов означає створення запису аудиту при кожній невдалій спробі доступу користувача до об'єкту, для якого визначена таблиця SACL. Щоб відключити аудит, в діалоговому вікні Свойства даного параметра політики встановіть прапорець Определить следующие параметры политики і зніміть прапорці Успех і Отказ.

Слід зазначити, що системну таблицю управління доступом для об'єкту файлової системи можна встановити на вкладці Безопасность діалогового вікна Свойства цього об'єкту.

Аудит доступу до об'єктів може бути реалізований через такі дії:

- включення політики Аудит доступу до об'єктів;

- перегляд політики Аудит доступу до об'єктів;

- перегляд параметрів аудиту;

- налагодження аудиту файлу або папки.

2.11. Параметри аудиту об'єктів

Кожен об'єкт має набір властивостей безпеки, або дескриптор безпеки, приєднаний до нього. У одній частині дескриптора безпеки перераховані користувачі і групи, що мають доступ до об'єкту, а також типи доступу (дозволи), призначені цим користувачам або групам. Ця частина дескриптора безпеки називається виборчою таблицею управління доступом (DACL).

Окрім відомостей про дозволи дескриптор безпеки об'єкту також містить відомості аудиту. Ці дані аудиту називаються системною таблицею управління доступом (SACL). У таблиці SACL указуються наступні відомості.

1. Облікові записи групи або користувача для аудиту при здійсненні доступу до об'єкту.

2. Події доступу для аудиту кожної групи або користувача. Прикладом події доступу є зміна файлу.

3. Атрибути «Успех» або «Отказ» для кожної події доступу на основі дозволів кожної групи або користувача в таблиці DACL об'єкту.

Типи доступу, аудит яких можна виконати, в основному залежать від того, проводиться аудит доступу до файлів і папок або до об'єктів Active Directory. У наступних розділах перераховані типи доступу.

Аудит можна застосовувати як прямо до об'єктів, так і до будь-яких дочірніх об'єктів за допомогою наслідування. Наприклад, якщо виконується аудит відмов спроб запису в папку, це подія аудиту успадковуватиметься всіма файлами в цій теці.

3. Аудит доступу до файлів і папок

У MS Windows NT/2000/XP є можливість аудиту доступу до файлів або папок на дисках NTFS для відстеження різних дій, що виконуються з ними.

Після дозволу аудиту файлів або папок у вікні перегляду подій журналу безпеки з'являються записи при кожній спробі виконати над цими ресурсами які-небудь дії. Можна вказати, за якими файлами і папками потрібно спостерігати, чиї дії відстежувати, а також конкретні типи відстежуваних дій.

Для цього потрібно включити аудит файлів і папок в оснащенні «Групповая политика». Потім в провіднику виберіть конкретні файли і задайте дії, що підлягають аудиту.

Можливий аудит як успішних, так і невдалих спроб виконання наступних дій над файлами і папками:

Перед проведенням аудиту файлів і папок користувач або адміністратор домена повинні включити політику Аудит доступа к объектам в теці «Политика Аудита». Якщо цього не зробити, при настройці аудиту файлів і папок буде видано повідомлення про помилку, а аудит файлів і папок проводитися не буде.

3.1. Вплив наслідування на аудит файлів і папок

Після налагодження аудиту батьківської папки нові файли і папки, що створюються в ній, успадковуватимуть параметри аудиту. Якщо потрібно запобігти спадкоємству аудиту, при настройці аудиту для батьківської папки виберіть в діалоговому вікні Элемент аудита для ім'я файлу або папки в полі Применять виберіть пункт Только для этой папки.

У випадках, коли потрібно запобігти спадкоємству тільки для деяких файлів або підпапок, клацніть цей файл або підпапку правою кнопкою миші, виберіть команду Свойства, перейдіть на вкладку Безопасность, натисніть кнопку Дополнительно, перейдіть на вкладку Аудит і зніміть прапорець Наследовать от родительского объекта применимые к дочерним объектам элементы аудита, добавляя их к явно заданным в этом окне.

Якщо прапорці в діалоговому вікні Элемент аудита для ім'я файлу або папки затінені або в діалоговому вікні Параметры управления доступом недоступна кнопка Удалить, значить, параметри аудиту успадковані від батьківської папки. Існують наступні способи зміни успадкованих параметрів аудиту:

- внесенням до параметрів аудиту батьківської папки зміни, які будуть успадковані файлом або папкою;

- зняттям на вкладці Аудит прапорця Наследовать от родительского объекта применимые к дочерним объектам элементы аудита, добавляя их к явно заданным в этом окне. Тепер можна натиснути кнопку Изменить або Удалить, щоб внести зміни або відмінити аудит. Тепер цей файл або папка більше не успадковуватимуть зміни параметрів аудиту батьківської папки.

3.2. Включення політики «Аудит доступа к объектам»

Якщо комп'ютер підключений до мережі, то параметри мережної політики можуть заборонити виконання даної процедури.

Щоб відкрити компонент «Локальная политика безопасности», натисніть кнопку Пуск, виберіть команду Панель управления, клацніть категорію Производительность и обслуживание, клацніть значок Администрирование, потім двічі клацніть значок Локальная политика безопасности.

Параметри безпеки оновлюються кожні 90 хвилин на робочій станції або сервері і кожні п'ять хвилин на контролері домена. Кожні 16 годин проводиться вимушене оновлення, незалежно від будь-яких змін.

Рис. 1 - Вікно локальних параметрів безпеки

Для включення політики «Аудит доступа к объектам» можна скористатись одним з наступних методів.

Якщо	Виконайте такі дії
Потрібно змінити налагодження безпеки для локального комп'ютера	Відкрийте компонент «Локальные параметры безопасности».
Потрібно змінити налагодження безпеки для об'єкту групової політики при роботі на робочій станції або сервері, приєднаних до домену.	1. Натисніть кнопку Пуск, виберіть команду Выполнить, введіть команду mmc и натисніть кнопку OK. 2. На консолі виберіть в меню Файл команду Добавить/удалить оснастку. 3. В діалоговому вікні Добавить/удалить оснастку натисніть кнопку Добавить. В діалоговому вікні Добавить изолированную оснастку двічі клацніть оснастку Групповая политика. 4. В діалоговому вікні Выбор объекта групповой политики натисніть кнопку Обзор, виберіть об’єкт політики, який потрібно змінити, і натисніть кнопку Готово. 5. Натисніть кнопку Закрыть, потім OK.

1. У дереві консолі двічі клацніть вузол Политика аудита.

Розташування:

- Політика Об'єкту

- Конфігурація комп'ютера

- Конфігурація Windows

- Параметри безпеки

- Локальні політики

- Політика аудиту

2. Двічі клацніть значок Аудит доступа к объектам і в діалоговому вікні Свойства: Аудит доступа к объектам встановіть прапорець Определить следующие параметры политики.

3. Виконати одну або обидві наступні дії.

- щоб проводити аудит успішних спроб, встановіть прапорець Успех.

- щоб проводити аудит спроб неуспіхів, встановіть прапорець Отказ.

3.3. Вибір об'єктів для застосування елементів аудиту

При аудиті файлів і папок відкривається діалогове вікно Элемент аудита. У полі Применять цього діалогового вікна показано, до яких об'єктів застосовуватимуться елементи аудиту. Застосування цих елементів аудиту залежить від того, чи встановлений прапорець Применять этот аудит к объектам и контейнерам только внутри этого контейнера. За умовчанням цей прапорець не встановлений.

Коли прапорець Применять этот аудит к объектам и контейнерам только внутри этого контейнера не встановлений, то застосування політики аудиту описується нижченаведеною таблицею.

Застосовувати	Аудит поточної папки	Аудит підпапок в поточній папці	Аудит файлів в поточній папці	Аудит всіх вкладених підпапок	Аудит файлів у всіх вкладених підпапках
Тільки для цієї папки	x
Для цієї папки, її підпапок і файлів	x	x	x	x	x
Для цієї папки і її підпапок	x	x		x
Для цієї папки і її файлів	x		x		x
Тільки для підпапок і файлів		x	x	x	x
Тільки для підпапок		x		x
Тільки для файлів			x		x

Коли прапорець Применять этот аудит к объектам и контейнерам только внутри этого контейнера встановлений, то застосування політики аудиту описується нижченаведеною таблицею.

Застосовувати	Аудит поточної папки	Аудит підпапок в поточній папці	Аудит файлів в поточній папці	Аудит всіх вкладених підпапок	Аудит файлів у всіх вкладених підпапках
Тільки для цієї папки	x
Для цієї папки, її підпапок і файлів	x	x	x
Для цієї папки і її підпапок	x	x
Для цієї папки і її файлів	x		x
Тільки для підпапок і файлів		x	x
Тільки для підпапок		x
Тільки для файлів			x

3.4. Включеня і налагодження аудиту файлів і папок

Для включеня і налагодження аудиту файлів і папок необхідно виконати такі дії. Якщо консоль була заздалегідь збережена за допомогою групової політики, можна відкрити збережену консоль і перейти до кроку 5.

1. Натисніть кнопку Пуск, виберіть команду виконати, введіть mmc /a (звернете увагу на наявність пропуску між mmc і /a) і клацніть кнопку OK.

2. У меню Файл виберіть команду Добавить/удалить оснащення і потім натисніть кнопку Добавить.

3. У полі Оснастка, виберіть Групповая политика, потім натисніть кнопку Добавить.

4. У полі Вибор объекта групповой политики виберіть Локальный компьютер, натисніть кнопку Готово, потім кнопку Закрыть і потім кнопку OK.

5. У вузлі Политика «Локальный компьютер» виберіть Политика аудита.

Розміщення:

\Политика «Локальный компьютер» \Конфигурация компьютера \Конфигурация Windows \Параметры безопасности \Локальные политики \Политика аудита

6. В області відомостей двічі клацніть значок Безпека.

7. У діалоговому вікні Аудит доступа к объектам виберіть потрібні параметри і натисніть кнопку ОК.

3.5. Вибір файлів і папок для аудиту

Після включення аудиту файлів і папок необхідно вказати файли і папки для аудиту. Перш ніж указувати файли і папки для аудиту, необхідно включити його в компоненті «Групповая политика». Далі потрібно виконати такі дії.

1. У провіднику Windows клацніть правою кнопкою миші файл або папку, для яких потрібно виконати аудит, і виберіть в меню команду Свойства.

2. На вкладці Безопасность натисніть кнопку Дополнительно.

3. На вкладці Аудит натисніть кнопку Добавить.

4. У діалоговому вікні Выбор: пользователь, компьютер или группа виберіть ім'я користувача або групи, для дій яких потрібно провести аудит, і натисніть кнопку OK.

5. У діалоговому вікні Элемент аудита в групі Доступ встановіть прапорці Успех, Отказ або обидва ці прапорця напроти дій, для яких потрібно провести аудит, а потім натисніть кнопку OK.

Щоб мати можливість вказати файли і папки для аудиту, необхідно увійти до системи з обліковим записом «Администратор» або члена групи «Администраторы». Інакше на кроці 2 не відображатиметься вкладка Безопасность або вона буде доступна тільки для читання.

Вкладка Безопасность відображається тільки для файлів і папок на томах NTFS.

3.6. Налагодження, перегляд, зміна або відміна аудиту файлу або папки

Аудит доступу до файлів і папок можливий тільки на дисках NTFS.

Для аудиту файлів і папок користувач повинен увійти до системи під ім'ям, що входить до групи «Администраторы», або володіти в груповій політиці правом Управление аудитом и журналом безопасности.

Щоб відкрити провідник, натисніть кнопку Пуск і виберіть команди Все программы, Стандартные і Проводник. Далі виконайте такі дії.

1. Відкрийте провідник і знайдіть файл або папку для налагодження параметрів аудиту.

2. Клацніть файл або папку правою кнопкою миші, виберіть пункт Свойства і перейдіть на вкладку Безопасность.

3. Натисніть кнопку Дополнительно і перейдіть на вкладку Аудит.

4. Виконати одну з наступних дій.

- для додавання нового користувача або групи натисніть кнопку Добавить. У полі Имя введіть ім'я користувача або групи і натисніть кнопку ОК;

- щоб переглянути або змінити параметри аудиту для наявної групи або користувача, виберіть відповідне ім'я і натисніть кнопку Изменить;

- щоб відмінити аудит для наявної групи або користувача, виберіть відповідне ім'я і натисніть кнопку Удалить, натисніть кнопку OK, потім пропустите частину процедури, що залишилася.

5. Щоб настроїти аудит для папки в діалоговому вікні Элемент аудита для ім'я файлу або папки в полі Применять виберіть, де повинен проводитися аудит.

6. У полі Доступ виконується одна з наступних дій для кожної вибраної події.

- щоб проводити аудит успішних подій, встановіть прапорець Успех;

- щоб припинити аудит успішних подій, зніміть прапорець Успех;

- щоб проводити аудит подій неуспіхів, встановіть прапорець Отказ;

- щоб припинити аудит подій неуспіхів, зніміть прапорець Отказ;

- щоб припинити аудит всіх подій, натисніть кнопку Очистить все.

7. Якщо потрібно запобігти спадкоємству цих елементів аудиту файлами і підпапками дерева, встановіть прапорець Применять этот аудит к объектам и контейнерам только внутри этого контейнера.

Після включення аудиту доступу до об'єктів прогляньте результати змін в журналі безпеки в програмі «Просмотр событий».

Можливі наступні ситуації:

- у діалоговому вікні Элемент аудита для ім'я файлу або папки в полі Доступ прапорці знаходяться в невизначеному стані.

- у діалоговому вікні Элемент аудита для ім'я файлу або папки кнопка Удалить недоступна.

У цих випадках параметри аудиту успадковані від батьківської папки.

Оскільки розмір журналу безпеки обмежений, файли і папки для проведення аудиту потрібно вибирати акуратно. Також слід вирішити, який об'єм дискового простору необхідно відвести під зберігання журналу безпеки. Максимальний розмір задається в програмі перегляду подій.

3.7. Відображення вкладки «Безопасность»

1. Відкрийте компонент «Свойства папки» на панелі управління.

- Натисніть кнопку Пуск і виберіть команду Панель управления.

- Клацніть категорію Оформление и темы, потім клацніть значок Свойства папки.

2. На вкладці Вид в групі Дополнительные параметры зніміть прапорець Использовать простой общий доступ к файлам (рекомендуется).

3.8. Використання вікна перегляду подій

У вікні перегляду подій ведуться журнали програмних, системних подій, а також подій безпеки на комп'ютері. Вікно перегляду подій використовується для перегляду журналів подій і управління ними, отримання відомостей про неполадки апаратного і програмного забезпечення, а також для спостереження за подіями безпеки MS Windows.

Щоб відкрити вікно перегляду подій, натисніть кнопку Пуск, виберіть команди Панель управления, Производительность и обслуживание, Администрирование, а потім двічі клацніть значок Просмотр событий.

Для отримання відомостей про використання вікна Просмотр событий виберіть в меню Действие цього вікна команду Справка.

Практичне завдання

1. Налагодити політику аудиту у MS Windows XP.

2. Провести дослідження політики аудиту у MS Windows XP.

3. Оформити протокол у відповідності із додатком.

Контрольні запитання

1. Що означає політики аудиту у MS Windows XP?

2. Які типи подій розрізняються при аудиті?

3. Які категорії аудиту підтримується у MS Windows XP?

4. Які параметри контролюються при аудиті?

5. Аудит яких дій над папками (папками) можливий у MS Windows XP?

6. Аудит яких дій над файлами можливий у MS Windows XP?

7. Як налагодити політику аудиту у MS Windows XP?

8. Як вибрати файли і папки для аудиту?

9. У якій файловій системі можливе налагодження політики безпеки і аудиту?