Выбор доменной стратегии аудита
Первый этап разработки стратегии аудита — выбор событий, подлежащих аудиту, в диалоговом окне Audit Policy (Политика аудита) программы User Manager for Domains (Диспетчер пользователей доменов). Это окно открывается командой Audit (Аудит) меню Policies (Политика).
В приведенной ниже таблице описаны типы событий, которые могут регистрироваться.
Тип событий
Что позволяет отслеживать
Logon and Logoff
(Вход и выход)
Регистрацию пользователя в системе или выход из нее, а также установку и разрыв сетевого соединения
File and Object Access
(Доступ к файлам и объектам)
Доступ пользователей к папкам, файлам и принтерам, подлежащих аудиту. Чтобы выполнять аудит файлов и принтеров, установите этот флажок
Use of User Rights
(Применение привилегий)
Использование привилегий пользователей (за исключением привилегий, связанных с регистрацией в системе и выходом из нее)
User and Group Management
(Управление пользователями и группами)
Создание, изменение (переименование, отключение, изменение пароля и т.д.) и удаление учетных записей пользователей и групп, а также изменения в ограничениях учетной записи (время работы и рабочие станции, на которых разрешена регистрация)
Security Policy Changes
(Изменение политики безопасности)
Изменения в привилегиях пользователей, стратегии аудита и политике доверительных отношений
Restart, Shutdown and System
(Перезагрузка, выключение и системные события)
Перезапуск или выключение компьютера пользователем, либо возникновение ситуации, влияющей на безопасность системы (например, когда журнал аудита переполняется и информация о событиях утрачивается)
Process Tracking
(Отслеживание процессов)
События, которые вызывают запуск программ, например выбор программы в меню Start (Пуск) или щелчок ссылки на Web-странице, повлекший запуск программы установки
Примечание Если Вы реализуете аудит на компьютере под управлением Windows NT Workstation или на сервере, то необходимо использовать программу User Manager (Диспетчер пользователей). Параметры диалоговых окон Audit Policy (Политика аудита) программ User Manager и User Manager for Domains одинаковы.
> Планирование аудита
Предположим, Вам как администратору Квебекского офиса компании «Разноимпорт» необходимо спланировать стратегию аудита для Вашего домена. Требования к безопасности сети Вашей компании несколько выше среднего уровня. Предварительно Вам надо решить, какие типы событий и их результатов следует регистрировать. Принимая решение, воспользуйтесь нашими рекомендациями:
- регистрируйте неудачные попытки войти в сеть;
- регистрируйте попытки несанкционированного доступа к базе данных, содержащей платежные ведомости и картотеку сотрудников;
- для контроля расходов отслеживайте все случаи использования цветных принтеров;
- регистрируйте любые попытки манипулирования сервером;
- ведите журнал действий, выполненных администратором, чтобы выявить несанкционированные изменения;
- отслеживайте выполнение процедур резервного копирования, чтобы предотвратить утечку данных;
- отслеживайте, какие пользователи играют в компьютерные игры.
ответ
Запишите свои решения прямо на приведенном ниже рисунке.
> Развертывание аудита
В этом упражнении Вы реализуете аудит на основании плана, выработанного Вами в предыдущем упражнении.
- Зарегистрируйтесь в системе по учетной записи Administrator.
- В меню Start (Пуск) последовательно выберите пункты Programs (Программы), Administrative Tools (Администрирование) и щелкните пункт User Manager for Domains (Диспетчер пользователей доменов).
- В меню Policies (Политика) выберите пункт Audit (Аудит). Появится диалоговое окно Audit Policy (Политика аудита).
- Щелкните переключатель Audit These Events (Аудит событий).
- На основании своего плана установите для требуемых событий соответствующие флажки — Success (Успех), Failure (Отказ) или оба.
- Щелкните кнопку ОК.
- Закройте User Manager for Domains.