Аудит доступа к ресурсам (Лабораторная работа № 5)

Страницы работы

Фрагмент текста работы

Лабораторная работа № 5.

Аудит доступа к ресурсам.

Цель работы: Приобрести практические навыки при работе с аудитом доступа к ресурсам.

Объём работы:

1.  Аудит событий.

2.  Параметры аудита для объектов.

3.  Выбор объектов для применения элементов аудита.

4.  Влияние наследования на аудит файлов и папок.

5.  Просмотр журнала событий.

Теоретические сведения.

Аудит: обзор

Аудит – отслеживание действий пользователей путем регистрации событий определенных типов в журнале безопасности сервера или рабочей станции.

Аудит определённых компьютеров, пользователей и событий операционной системы является необходимой частью администрирования сети. Установка параметров аудита возможна в окне свойств файлов, папок, общих папок, принтеров и объектов службы каталогов Active Directory. Аудит позволяет отслеживать и записывать события, связанные с безопасностью, такие как попытки доступа пользователей к защищенным файлам и папкам. После включения аудита в журнал безопасности Windows 2000 заносятся записи при любой попытке доступа к этому объекту. При этом определяется объект аудита, действия, подвергаемые аудиту, и точные типы действий для аудита. После установки аудита можно отслеживать доступ пользователей к определенным объектам и анализировать недостатки системы безопасности. Записи аудита показывают, кто выполнял какие-либо действия и кто пытался выполнить какие-либо неразрешенные действия.

Выберите объекты аудита и, просматривая журналы событий, отслеживайте характеристики их использования, проблемы системы безопасности и тренды сетевого трафика. Но не поддавайтесь искушению контролировать всё на свете. Чем больше событий включается аудит, тем больше становятся журналы. Просмотр огромных журналов событий – тяжёлая работа, а конце концов это надоедает. Поэтому важным моментом является планирование политики аудита, которая будет защищать вашу сеть без излишне большой нагрузки на администратора. Кроме того, следует помнить, что каждое включённое в аудит событие приводит к увеличению непроизводительной нагрузки в системе.

Аудит событий.

По умолчанию все категории аудита отключены при установке Windows. В таблице 1.1 приводится список категорий событий, для которых может выполняться аудит.

Каждое событие, включаемое в аудит, всегда говорит о чём-то, но это не всегда то, что вам требуется. Например, аудит успешных входов и выходов может обнаружить использование украденного пароля, а может просто предоставить бесконечные страницы, показывающие, как авторизованные должным образом пользователи входят и выходит из системы. Однако аудит неудачных входов явно оправдает себя, если хакер пытается случайным образом подобрать пароль.

Установка параметров аудита возможна только для файлов и папок, расположенных на диске, использующем файловую систему NTFS.


Таблица 1.1. Категории событий и их описание.

Категория

события

Описание

Аудит входа

в систему

Активизируется, когда контроллер домена получает запрос входа в систему.

Аудит доступа

к объектам

Активизируется, когда происходит доступ к объекту.

Аудит доступа к службе каталогов

Активизируется, когда происходит доступ к объекту Active Directory.

Аудит изменения

политики

Активизируется, когда происходит модификация политики, влияющей на систему безопасности, права пользователей или выполнение аудита.

Аудит

использования

привилегий

Активизируется, когда какое-либо право пользователя используется для выполнения какой-либо операции.

Аудит

отслеживания

процессов

Активизируется, когда приложение выполняет операцию, для которой запущено отслеживание.

Аудит системных событий

Активизируется, когда происходит перезагрузка или отключение компьютера или другое событие, которое влияет на безопасность системы.

Аудит событий входа в систему

Активизируется, когда пользователь выполняет вход в систему или выход из системы.

Аудит

управления

учётными

записями

Активизируется, когда происходит создание или изменение пользовательской учётной записи или группы.

Параметры аудита для объектов.

Прежде чем выполнять доступ к объектам, вы должны активизировать параметр «Аудит доступа к объектам». Чтобы сделать это (или активизировать аудит по любой другой категории) необходимо войти в раздел «Политика аудита» оснастки «Групповая политика» (Пуск ® Настройка ® Панель управления ® Администрирование ® Локальная политика безопасности ® Локальные политики ® Политика аудита). Далее щёлкните правой кнопкой мыши на категории «Аудит доступа к объектам» и выберите пункт Безопасность. В появившемся диалоговом окне установите флажок, чтобы активизировать аудит, и выберите аудит успешных

Похожие материалы

Информация о работе