Какие параметры определяют политику аудита

Какие параметры определяют политику аудита

Все попытки вторжения и неудачную аутентификацию ваших пользователей необходимо фиксировать для того чтобы знать, нужно ли предпринимать дополнительные меры по обеспечению безопасности. Проверка такой информации с целью определения активности на предприятии называется аудитом.

В процессе аудита используются три средства управления: политика аудита, параметры аудита в объектах, а также журнал «Безопасность», куда заносятся события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. В этом разделе мы рассмотрим именно политики аудита и последующий анализ событий в журнале «Безопасность».

Политика аудита

Политика аудита настраивает в системе определенного пользователя и группы аудит активности. Для того чтобы отконфигурировать политики аудита, в редакторе управления групповыми политиками вы должны открыть узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные полити- ки/Политика аудита. Необходимо помнить, что по умолчанию параметр политики аудита, для рабочих станций установлен на «Не определено».

Так же, как и с остальными политиками безопасности, для настройки аудита вам нужно определить параметр политики. После двойного нажатия левой кнопкой мыши на любом из параметров, установите флажок на опции «Определить следующие параметры политики» и укажите параметры ведения аудита успеха, отказа или обоих типов событий.

После настройки политики аудита события будут заноситься в журнал безопасности. Просмотреть эти события можно в журнале безопасности. Рассмотрим подробно каждую политику аудита:

Аудит входа в систему. Текущая политика определяет, будет ли операционная система пользователя, для компьютера которого применяется данная политика аудита, выполнять аудит каждой попытки входа пользователя в систему или выхода из нее. Например, при удачном входе пользователя на компьютер генерируется событие входа учетной записи. События выхода из системы создаются каждый раз, когда завершается сеанс вошедшей в систему учетной записи пользователя. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит доступа к объектам. Данная политика безопасности выполняет аудит попыток доступа пользователей к объектам, которые не имеют отношения к Active Directory. К таким объектам можно отнести файлы, папки, принтеры, разделы системного реестра, которые задаются собственными списками в системном списке управления доступом (SACL). Аудит создается только для объектов, для которых указаны списки управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют параметрам в данных списках.

Аудит доступа к службе каталогов. При помощи этой политики безопасности вы можете определить, будет ли выполняться аудит событий, указанных в системном списке контроля доступа (SACL), который можно редактировать в диалоговом окне«Дополнительные параметры безопасности» свойств объекта Active Directory. Аудит создается только для объектов, для которых указан системный список управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют параметрам в данном списке. Данная политика в какой-то степени похожа на политику «Аудит доступа к объектам». Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL.

Читайте также:  Фен philips nl9206ad 4 drachten как разобрать

Аудит изменения политики. Эта политика аудита указывает, будет ли операционная система выполнять аудит каждой попытки изменения политики назначения прав пользователям, аудита, учетной записи или доверия. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

Аудит изменения привилегий. Используя эту политику безопасности, вы можете определить, будет ли выполняться аудит использования привилегий и прав пользователей. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.

Аудит отслеживания процессов. Текущая политика аудита определяет, будет ли операционная система выполнять аудит событий, связанных с процессами, такими как создание и завершение процессов, а также активация программ и непрямой доступ к объектам. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом.

Аудит системных событий. Данная политика безопасности имеет особую ценность, так как именно при помощи этой политики вы можете узнать, перегружался ли у пользователя компьютер, превысил ли размер журнала безопасности пороговое значение предупреждений, была ли потеря отслеженных событий из-за сбоя системы аудита и даже вносились ли изменения, которые могли повлиять на безопасность системы или журнала безопасности вплоть до изменения системного времени. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события.

Аудит событий входа в систему. При помощи этой политики аудита вы можете указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компьютером учетных данных. При использовании этой политики создается событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных записей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается событие удаленного входа, причем события выхода из системы не записываются. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит управления учетными записями. Эта последняя политика тоже считается очень важной, так как именно при помощи нее вы можете определить, необходимо ли выполнять аудит каждого события управления учетными записями на компьютере. В журнал безопасности будут записываться такие действия как создание, перемещение и отключение учетных записей, а также изменение паролей и групп. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями

Читайте также:  Resident evil 7 как узнать версию игры

Как видите, все политики аудита в какой-то степени очень похожи и если вы для каждого пользователя свой организации установите аудит всех политик, то рано или поздно вы просто запутаетесь в них. Поэтому необходимо вначале определить, что именно необходимо для аудита. Например, чтобы удостовериться в том, что к одной из ваших учетных записей постоянно пытаются получить несанкционированный доступ методом подбора пароля, вы можете указать аудит неудачных попыток входа. В следующем разделе мы рассмотрим простейший пример использования данных политик.

Настройка политик аудита — важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена для протоколирования определенных событий, относящихся к системе безопасности.

Политики аудита определяют, какие именно события в области безопасности системы должны регистрироваться в журнале "Безопасность".

Процесс аудита безопасности настраивается с помощью групповых политик. Параметры аудита безопасности находятся в разделе "Параметры безопасности — Локальные политики — Политики аудита" любого объекта групповых политик.

На рисунке изображены стандартные политики аудита для организационного подразделения "Контроллеры домена".

Рассмотрим параметры этого раздела:

· Аудит входа в систему регистрирует события, связанные с регистрацией пользователя на данном компьютере, окончанием сеанса работы и удаленными соединениями с сетевыми системами;

· Аудит доступа к объектам регистрирует попытки доступа пользователей к различным объектам — файлам, папкам, принтерам и объектам Active Directory;

· Аудит доступа к службе каталогов регистрирует доступ к Active Directory;

· Аудит изменения политики регистрирует изменения разрешений доступа пользователей, аудита и доверительных отношений;

· Аудит использования привилегий регистрирует применение разрешений доступа и привилегий пользователя (например, использование прав резервного копирования файлов и каталогов);

· Аудит отслеживания процессов регистрирует системные процессы и ресурсы, используемые процессами;

· Аудит системных событий регистрирует запуск, выключение и перезагрузку системы, а также действия, влияющие на безопасность системы или на журнал безопасности;

· Аудит событий входа в систему регистрирует события, связанные с регистрацией пользователя в домене;

· Аудит управления учетными записямирегистрирует управление учетными записями посредством консоли "Active Directory — пользователи и компьютеры" (события генерируются каждый раз, когда учетные записи пользователя, компьютера или группы создаются, изменяются или удаляются).

| следующая лекция ==>
Реализация аудита | Аудит доступа к объектам

Дата добавления: 2014-01-04 ; Просмотров: 160 ; Нарушение авторских прав?

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

1. Войдите в систему под любой учетной запи­сью, входящей в группу Администраторы (Administrators).
2. Щелкните Пуск (Start), щелкните Выполнить (Run), в поле От­крыть (Open) наберите mmc и щелкните ОК.
3. В окне Консоль 1 (Console 1), в меню Консоль (File), щелкните До­бавить или удалить оснастку (Add/Remove Snap-In).
4. В окне Добавить или удалить оснастку (Add/Remove Snap-In) щел­кните кнопку Добавить (Add),
5. В диалоговом окне Добавить изолированную оснастку (Add Stan­dalone Snap-In) выберите в списке оснастку Групповая политика (Group Policy) и щелкните кнопку Добавить (Add).
6. Убедитесь, что в поле Объект групповой политики (Group Policy Object) окна Выбор объекта групповой политики (Select Group Policy Object) значится Локальный компьютер (Local Computer), затем щелкните кнопку Готово (Finish).
7. В диалоговом окне Добавить изолированную оснастку (Add Stan­dalone Snap-In) щелкните Закрыть (Close).

Читайте также:  Массовая загрузка видео вконтакте

Заметьте, что в окне Добавить/удалить оснастку (Add/Remove Snap-In) отображается элемент Политика «Локальный компьютер» (Local Computer Policy) несмотря на то, что вы выбрали оснастку Груп­повая политика (Group Policy). Дело в том, что для локального ком­пьютера Групповая политика (Group Policy) означает то же самое, что и Политика «Локальный компьютер» (Local Computer Policy).

8. В окне Добавить/удалить оснастку (Add/Remove Snap-In) щелкни­те кнопку Закрыть (Close).
9. В дереве консоли дважды щелкните элемент Политика «Локаль­ный компьютер» (Local Computer Policy).
10. Дважды щелкните элемент Конфигурация компьютера (Computer Configuration), затем дважды щелкните элемент Конфигурация Windows (Windows Settings).
11. Дважды щелкните элемент Параметры безопасности (Security Set­tings), затем дважды щелкните элементе Локальные политики (Local Policies).
12. Щелкните элемент Политика аудита (Audit Policy). В правой пане­ли окна Политика «Локальный компьютер» (Local Computer Policy) отобразятся текущие параметры политики аудита как показано на рис. 4.1.
13. Чтобы настроить политику аудита, в списке укажите Аудит входа в систему (Audit Logon Events) и в меню Действие (Action) щелкните пункт Свойства(Pro­perties), появится окно Свойства: аудит входа в систему(Audit Account Logon Events Properties), как показано на рис. 4.2. Или в правой части окна дважды щелкните каждый тип события и установите флажок Успех (Audit Successful Attempts) или Отказ (Audit Failed Attempts) согласно следующей таблице.

Событие Успех Отказ
События входа в систему
Управление учетными записями X
Доступ к службе каталогов
Вход в систему X
Доступ к объектам X X
Изменение политики X
Использование привилегий X
Отслеживание процесса X X
Системные события

14. Закройте консоль ММС и сохраните локальную групповую поли­тику.
15. Перезапустите компьютер, чтобы изменения немедленно вступи­ли в силу.


Рис. 4.1. События, для которых можно включить аудит в Windows XP Professional


Рис. 4.2. Окно Свойства: аудит событий входа в систему

Совет: команда gpupdate позволяет обновлять параметры как локаль­ной групповой политики, так и политики для объектов Active Directory, включая параметры безопасности. Чтобы обновить параметры на ло­кальном компьютере, войдите в режим командной строки, наберите gpupdate и нажмите Enter. Для получения более полного описания ко­манды gpupdate в меню Пуск (Start) щелкните Справка и поддержка (Help And Support) и используйте поиск для нахождения строки gpupdate.

4.2. Второе лабораторное задание
Настройка аудита объектов Windows XP Professional

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: При сдаче лабораторной работы, студент делает вид, что все знает; преподаватель делает вид, что верит ему. 9775 — | 7476 — или читать все.

Ссылка на основную публикацию
Какая информация включена в заголовок транспортного уровня
Протокол TCP/IP ( Transmission Control Protocol/Internet Protocol ) представляет собой стек сетевых протоколов, повсеместно используемый для Интернета и других подобных...
Как удалить много страниц в ворде сразу
Бывает такое, что пользователи оказываются в непростом положении, не понимая, как выйти из тяжелого положения. Некоторые люди даже не могут...
Как удалить облако майл ру с телефона
Действие вызывает много вопросу пользователей. В результате в сети встречаются порталы, предлагающие дополнительно скачивать и устанавливать специальные расширения для стирания...
Какие параметры определяют политику аудита
Все попытки вторжения и неудачную аутентификацию ваших пользователей необходимо фиксировать для того чтобы знать, нужно ли предпринимать дополнительные меры по...
Adblock detector