Для указанных выше разделов, связанных с системой безопасности, рекомендуется установить аудит на успешное или неуспешное выполнение таких действий, как QueryValue, SetValue, WriteDAC и ReadControlдля всех пользователей, обладающих административными полномочиями в системе. Можно это сделать и для группы Everyone, но тогда количество записей аудита в журнале безопасности будет больше. Чтобы отслеживать только изменения, можно не следить за событиями типов QueryValue и ReadControl.
Установить параметры аудита администратор может в диалоговом окне RegistryKeyAuditing(рис. 6-7), доступ к которому в программе REGEDT32 осуществляется выбором команды Auditingиз меню Security. В качестве стартового раздела при выполнении этой операции лучше выбрать SECURITY, поскольку он, кроме всего прочего, включает символическую ссылку на раздел SAM. Таким образом, администратор может проставить нужные параметры аудита для двух указанных разделов одновременно (обратите внимание на установленный флажок AuditPermissiononExistingSubkeys).
Рис. 6-7. Установка режима регистрации событий доступа к разделам реестра, хранящим информацию о безопасности операционной системы Windows NT.
Примечание Помните, что типы отслеживаемых событий в поле EventstoAuditустанавливаются для каждого пользователя или каждой группы отдельно. Поэтому для правильной настройки необходимо, последовательно выбирая строки в списке Name, проставлять после этого флажки в нужных полях. |
При желании системный администратор может подобным образом установить режим аудита и для других разделов реестра системы Windows NT. Поскольку доступ к разным разделам (и для чтения, и для записи информации) может осуществляться довольно часто, делать это нужно только в случае действительной необходимости.
Специальный прием для доступа к разделам SAM и SECURITY
Как мы упоминали ранее, администратор Windows NT по умолчанию не имеет права просматривать и модифицировать информацию о безопасности системы, хранящуюся в реестре (т.е. упомянутые выше разделы SAM и SECURITY). Он также не имеет возможности изменять и системные списки прав доступа к этим разделам, т. е. устанавливать для них режим аудита. В связи с этим, прежде чем приступить к выполнению описанной выше операции, администратору необходимо будет изменить права доступа к разделам SAM и SECURITY. Чтобы этого не делать, он может использовать специальный прием (рис. 6-8). Для этого программу REGEDT32 нужно запустить командой at через службу планировщика заданий (Schedule Service). По умолчанию последняя работает в Windows NT в контексте безопасности операционной системы, поэтому редактор реестра в этом случае запускается с привилегиями, позволяющими ему иметь полный доступ ко всем разделам.
Рис. 6-8. Запуск редактора реестра в контексте безопасности операционной системы Windows NT. Время, указанное в команде at, должно быть на 1-2 минуты больше текущего системного времени. Последнюю команду подавать не обязательно.
Анализ записей аудита
После настройки аудита реестра информация о чтении и модификации параметров соответствующих разделов будет появляться в журнале безопасности Windows NT. При этом следует учитывать, что количество записей о событиях категории ObjectAccess может быть довольно велико. В таком случае администратору может потребоваться увеличить размер журнала безопасности или предпринять другие меры для сохранения записываемой в него информации.
Системный администратор должен периодически просматривать и анализировать записи аудита, в том числе те, что относятся к событиям доступа к тому или иному разделу реестра. Отметим, что имеющейся в этих записях информации не всегда достаточно, чтобы однозначно определить, какой пользователь выполнил то или иное действие. Подробно вопросы анализа записей аудита мы обсудим в главе 8.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.