Аудит доступа к ресурсам (Лабораторная работа № 5)

Лабораторная работа № 5.

Аудит доступа к ресурсам.

Цель работы: Приобрести практические навыки при работе с аудитом доступа к ресурсам.

Объём работы:

1.  Аудит событий.

2.  Параметры аудита для объектов.

3.  Выбор объектов для применения элементов аудита.

4.  Влияние наследования на аудит файлов и папок.

5.  Просмотр журнала событий.

Теоретические сведения.

Аудит: обзор

Аудит – отслеживание действий пользователей путем регистрации событий определенных типов в журнале безопасности сервера или рабочей станции.

Аудит определённых компьютеров, пользователей и событий операционной системы является необходимой частью администрирования сети. Установка параметров аудита возможна в окне свойств файлов, папок, общих папок, принтеров и объектов службы каталогов Active Directory. Аудит позволяет отслеживать и записывать события, связанные с безопасностью, такие как попытки доступа пользователей к защищенным файлам и папкам. После включения аудита в журнал безопасности Windows 2000 заносятся записи при любой попытке доступа к этому объекту. При этом определяется объект аудита, действия, подвергаемые аудиту, и точные типы действий для аудита. После установки аудита можно отслеживать доступ пользователей к определенным объектам и анализировать недостатки системы безопасности. Записи аудита показывают, кто выполнял какие-либо действия и кто пытался выполнить какие-либо неразрешенные действия.

Выберите объекты аудита и, просматривая журналы событий, отслеживайте характеристики их использования, проблемы системы безопасности и тренды сетевого трафика. Но не поддавайтесь искушению контролировать всё на свете. Чем больше событий включается аудит, тем больше становятся журналы. Просмотр огромных журналов событий – тяжёлая работа, а конце концов это надоедает. Поэтому важным моментом является планирование политики аудита, которая будет защищать вашу сеть без излишне большой нагрузки на администратора. Кроме того, следует помнить, что каждое включённое в аудит событие приводит к увеличению непроизводительной нагрузки в системе.

Аудит событий.

По умолчанию все категории аудита отключены при установке Windows. В таблице 1.1 приводится список категорий событий, для которых может выполняться аудит.

Каждое событие, включаемое в аудит, всегда говорит о чём-то, но это не всегда то, что вам требуется. Например, аудит успешных входов и выходов может обнаружить использование украденного пароля, а может просто предоставить бесконечные страницы, показывающие, как авторизованные должным образом пользователи входят и выходит из системы. Однако аудит неудачных входов явно оправдает себя, если хакер пытается случайным образом подобрать пароль.

Установка параметров аудита возможна только для файлов и папок, расположенных на диске, использующем файловую систему NTFS.

Таблица 1.1. Категории событий и их описание.

Параметры аудита для объектов.

Прежде чем выполнять доступ к объектам, вы должны активизировать параметр «Аудит доступа к объектам». Чтобы сделать это (или активизировать аудит по любой другой категории) необходимо войти в раздел «Политика аудита» оснастки «Групповая политика» (Пуск ® Настройка ® Панель управления ® Администрирование ® Локальная политика безопасности ® Локальные политики ® Политика аудита). Далее щёлкните правой кнопкой мыши на категории «Аудит доступа к объектам» и выберите пункт Безопасность. В появившемся диалоговом окне установите флажок, чтобы активизировать аудит, и выберите аудит успешных