Проверка работы аудита

Практическая работа 5

Тема. Настройка аудита.

Цель: изучить организацию системы защиты компьютера.

Теоретическое обоснование

Система Windows 2000/XP Professional позволяет подвергать аудиту весьма ши­рокий диапазон пользовательских действий на компьютере (фактически всех).

Аудит– слежение за действиями пользователя при работе с папками и файлами

Каждое подвергаемое аудитусобытие фиксируется в журнале регистрации со­бытийдля последующего просмотра.

Консоль ММС

По умолчанию, средства аудита в системе Windows 2000/XP не включены, и пе­ред использованием, аудит следует запустить с помощью консоли ММС, вос­пользовавшись оснасткой Групповая политика(Group Policy). Для этого в сис­теме Windows 2000 выполните такие шаги (в системе Windows XP эта процедура выполняется аналогично).

1.1 Щелкните указателем мыши на кнопке Пуск(Start); на экране появится глав­ное меню Windows 2000.

1.2 Выберите из меню пункт Выполнить(Run); на экране отобразится диалог Выполнить(Run).

 

Рисунок 1 – Добавление оснастки к консоли ММС

 

1.3 Введите mmc/а и далее нажмите клавишу Enter. Отобразиться диалог консо­ли ММС.

1.4 Щелкните на меню Консоль(Console) и выберите пункт Добавить/удалить оснастку(Add/Remove Snap-in), как показано на рисунке 1.

1.5 В появившемся на экране диалоге Добавить/Удалить оснастку(Add/Remove Snap-in) щелкните на кнопке Добавить(Add). Отобразится диалог Добавить изолированную оснастку(Add Standalone Snap-in).

Рисунок 2 – Диалоговое окно Добавить/Удалить оснастку

 

1.6 Прокрутите список Доступные изолированные оснастки(Available Stand­alone Snap-in) и выберите оснастку Групповая политика(Group Police).

Рисунок 3 – Диалоговое окноДоступные изолированные оснастки

 

1.7 Щелкните на кнопке Добавить(Add); на экране появится диалог Выбор объекта групповой политики(Select Group Policy Object).

Рисунок 4 – Диалоговое окно Выбор объекта групповой политики

1.8 Щелкните на кнопке Готово(Finish) для сохранения установок на локаль­ном компьютере. Щелкните на кнопке Закрыть(Close) для закрытия диалога Добавить изо­лированную оснастку(Add Standalone Snap-in)..

1.9 Щелкните на кнопке ОК для закрытия диалога Добавить/удалить оснастку(Add Standalone Snap-in). Щелкните на меню Консоль(Console) и далее на пункте Сохранить(Save). Присвойте имя созданной консоли, например, MyConsole,и щелкните на кнопке ОК.

Установление аудита.

2.1Откройте приведенным выше методом консоль ММС и откройте созданный на предыдущем этапе файл консоли MyConsole.msc.

2.2 Дважды щелкните на пункте Корень консоли(Console Root); отобразится древовидная структура, содержащая множество пунктов - папок, хранящих инструменты настройки групповой политики.

2.3 Откройте папку Политика аудита(Audit Policy), последовательно открывая такую последовательность папок: Политика "Локальный компьютер" ♦ Конфигурация компьютера ♦ Конфигурация Windows ♦ Параметры безо­пасности ♦ Локальные политики ♦ Политика аудита(Local Computer Pol­icy ♦ Computer Configuration ♦ Windows Settings ♦ Security Settings ♦ Local Policies ♦ Audit Policy). В правой части диалога консоли отобразится набор политик аудита (рисунок 5).

Рисунок 5 – Набор политик аудита

 

2.4 Дважды щелкните на пункте Аудит доступа к объектам(Audit object access) в правой части консоли. Этот объект групповой политики отвечает за аудит объектов активного каталога.

2.5 В появившемся на экране диалоге Параметр локальной политики безопас­ности(Local Security Policy Setting), представленном на рисунке 6, щелкните на флажках задания аудита успешных и неудачных попыток обращения к объектам безопасности. Щелкните на кнопке ОК для продолжения.

Рисунок 6 – Задание аудита для объектов активного каталога

2.6 Сохраните консоль MyConsoleи выйдите из консоли ММС.

Проверка работы аудита

Теперь аудит входов в систему установлен, и можно проверить, как он работает. Для этого необходимо выполнить шаги.

3.1 Щелкните правой кнопкой мыши на папке, для которой был установлен общий доступ; на экране появится контекстное меню. Выберите команду Свойства(Properties); на экране отобразится диалог, по­добный представленному на рисунке 7.

 

Рисунок 7 – Диалоговое окно Свойства

 

3.2 Щелкните на кнопке Дополнительно(Advanced) и в отобразившемся диалоге Параметры управления доступом для папки Мои документы(Access Control Set­tings for Shares) щелчком мыши откройте вкладку Аудит(Audit), представ­ленную на рисунке 8.

Рисунок 8 - Задание аудита файлов и папок

 

3.3 Щелкните на кнопке Добавить(Add); на экране появится диалог Выбор: Пользователь, Компьютер или Группа(Select User, Computer or Group), представленный на рисунке 9.

Рисунок 9 - Выбор пользователей и групп для аудита общей папки

3.4 Выберите группу Всеи щелкните на кнопке ОК. В появившемся диалоге (рисунок 10) установите, какие операции пользова­телей с отслеживаемой папкой будут подвергаться аудиту и следует ли рас­пространять аудит на подпапки. Например, задайте аудит попыток открытия папки и просмотра ее содержимого, установив флажок Содержание пап­ки/Чтение данных(List Folder/Read Data). Затем последовательно закройте все диалоги.

 

Рисунок 10 – Установление аудита доступа к папке

 

Теперь все попытки внести изменения содержимого папки Мои документыбудут фикси­роваться в журнале безопасности.