Определение событий, подлежащих регистрации

При планировании политики аудита нужно определить, какие собы­тия следует регистрировать и на каких компьютерах надо установить аудит. По умолчанию аудит отключен.
Можно регистрировать следующие типы событий:
• попытки доступа к файлам и папкам;
• вход в систему и выход из нее;
• выключение компьютера с Windows XP Professional;
• запуск компьютера с Windows XP Professional;
• изменения учетных записей пользователей и групп;
• попытки изменения объектов Active Directory (только если ком­пьютер с Windows XP Professional является частью домена).
После того как типы регистрируемых событий заданы, нужно опре­делить, регистрировать ли успешные действия, неудавшиеся попытки или оба вида событий.
Отслеживание успешных действий дает инфор­мацию о том, как часто система Windows XP Professional или пользова­тели обращаются к конкретным файлам, принтерам или другим объек­там; эта информация пригодится для планирования ресурсов.
Регистрация неудачных попыток позволяет выявить слабые места в защите системы. Так, если зафиксировано несколько неудачных попыток входа в систему под определенным именем пользователя, особенно в нерабочее время, можно предположить, что неавторизо­ванный пользователь пытается «взломать» систему. Кроме того, при выборе политики аудита руководствуйтесь пра­вилами:
• Определите, нужно ли отслеживать закономерности загрузки систе­мы. Если да, то предусмотрите сохранение журналов событий в архиве. Это позволит контролировать распределение загрузки по времени и заранее планировать увеличение ресурсов системы.
• Часто просматривайте журналы безопасности. Обязательно установите расписание и регулярно просматривайте журналы безопасности, так как выполнение аудита само по себе не предупреждает о слабых местах в защите системы.
• Задайте информативную и работоспособную политику аудита. Всегда регистрируйте попытки доступа к жизненно важным и конфиден­циальным данным. Регистрируйте только те события, которые дают существенную информацию. Это снижает потребление ресурсов компьютера до минимума и упрощает поиск нужной информации. Регистрация большого числа событий может привести к чрезмер­ной трате системных ресурсов Windows XP Professional.

Реализация политики аудита

Аудит — мощный инструмент для отслеживания событий, происхо­дящих на компьютерах в вашем офисе. Прежде чем применять аудит, следует продумать требования к нему и установить политику аудита. Далее можно выполнять аудит файлов, папок и принтеров.

Конфигурация аудита

На компьютерах с Windows XP Professional политики аудита устанав­ливаются для каждого компьютера в отдельности. Для установки и администрирования аудита необходимо:
• иметь право пользователя Управление аудитом и журналом безопас­ности (Manage Auditing And Security Log) на том компьютере, на котором планируется установить политику аудита или просмотреть журнал безопасности. По умолчанию в Windows XP Professional та­кие права имеет группа Администраторы (Administrators);
• разместить файлы и папки, аудит которых планируется, на томах с файловой системой NTFS.

Настройка аудита

Настройка аудита выполняется в два этапа.
1. Задание политики аудита. Политика аудита разрешает аудит объек­тов, но не инициирует аудит заданных объектов.
2. Разрешения аудита заданных ресурсов. Для файлов, папок, прин­теров и объектов Active Directory назначаются конкретные собы­тия, подлежащие регистрации. После этого Windows XP Professional начинает отслеживать заданные события и регистрировать их в журнале.

Установка политики аудита

На первом этапе установки политики аудита в Windows XP Professional необходимо выбрать типы событий, подлежащих регистрации. Для каждого регистрируемого события в параметрах указывается, какие попытки следует отслеживать — успешные или неудачные. Полити­ка аудита на локальном компьютере устанавливается средствами оснастки Групповая политика, которую можно запустить, используя Консоль управления ММС (Microsoft Management Console) и добавив в консоль оснастку Групповая политика (Group Policy). В таблице 4.1 перечислены типы событий, регистрируемые в Windows XP Professional.

Типы событий, регистрируемых Windows XP Professional

Таблица 4.1

Событие	Описание
Вход в систему под заданной учетной записью	Контроллер домена получил запрос на проверку учетной записи пользователя (применяется только в тех случаях, когда компьютер с Windows XP Professional входит в домен Microsoft Windows 2000)
Управление учетными записями	Администратор создал, изменил или удалил учетную запись пользователя или группу. Некоторая учетная запись была переименована, отключена или включена, или для нее был назначен или изменен пароль
Доступ к службе каталогов	Пользователь получил доступ к объекту Active Directory. Для регистрации событий этого типа нужно сконфигурировать аудит для определенных объектов Active Directory (Active Directory можно применять, только если компьютер с Windows XP Professional входит в домен Microsoft Windows 2000)
Вход в систему	Пользователь локально вошел в систему или вышел из нее, или подключился к компьютеру через сеть (или отключился от него)
Доступ к объектам	Пользователь получил доступ к файлу, папке или принтеру. Определенные файлы, папки или принтеры должны быть настроены для аудита. В этом случае регистрируется доступ пользователей к файлам, папкам и принтерам
Изменение системной политики	Изменены пользовательские параметры безопасности, права пользователя или политика аудита
Использование привилегий	Пользователь применил права, например изменил системное время (в этом случае не подразумеваются права, связанные с регистрацией в системе или с выходом из нее)
Отслеживание процесса	Программа выполнила действие. Эта информация важна главным образом для программистов, которым нужно детально проследить выполнение программы
Системные события	Пользователь перезапустил или выключил компьютер, или произошло событие, повлиявшее на безопасность Windows XP Professional или на журнал безопасности. Например, журнал аудита переполнился и Windows XP Professional начинает игнорировать поступающие сообщения о событиях

После настройки параметров политики аудита имейте в виду, что изменения в политике аудита компьютера вступают в силу только после перезагрузки.