В главе 11 я определил событие как важное явление в системе или в приложении, которое требует уведомления пользователя (обычно администратора). Например, остановка службы должна быть записана в журнал Система (System). Можно продолжать следить за состоянием системы путем мониторинга журналов событий и счетчиков производителей.
7Д Бойс
Аудит позволяет контролировать успех или неудачу определенного типа событий, например, попыток входа в систему. Неудачные попытки могут означать нарушение безопасности компьютера либо что-то более простое, например то, что пользователь забыл пароль и стесняется признаться либо работает после окончания рабочего дня и не хочет беспокоить администратора.
Вход и выход не являются единственными событиями, которые можно контролировать в Windows ХР. Иногда требуется контроль доступа к общей папке для отслеживания тех, кто использует папку, и их действий. Можно контролировать множество различных событий в Windows ХР, разделенных на несколько категорий.
События входа в систему. Слежение за входом или выходом в систему с использованием учетной записи пользователя.
Управление учетными записями. Слежение за тем, когда создается, изменяется или удаляется учетная запись пользователя или группа. Слежение за тем, когда учетная запись переименовывается, включается или отключается. Слежение за установкой или изменением пароля.
Доступ к службе каталогов. Слежение за доступом к Active Directory.
Вход в систему Слежение за аутентификацией таких нелокальных объектов, как сетевые пользователи сетевого диска или другого ресурса, либо удаленной службы, которая выполняет вход с использованием локальной учетной записи (например, учетной записи SYSTEM).
Доступ к объектам. Слежение за доступом к таким объектам, как папки, файлы и принтеры. Аудит этой категории требует настройки свойств контроля на самом объекте.
Изменение нолитики. Отслеживает изменение прав пользователя или политик контроля.
Использование привилегий. Отслеживает случаи использования пользователем прав, не связанных с входом и выходом.
Отслеживание процессов. Отслеживает выполнение таких процессов, как запуск приложения.
Системные события. Отслеживает такие глобальные системные события, как запуск, завершение работы системы или перезагрузка, либо события, связанные с журналом системной безопасности или общей безопасности.
Каждая из этих категорий включает несколько типов событий, некоторые из них, по сути, являются общими, а другие — индивидуальными для определенных объектов. Во всех случаях, кроме доступа к объектам, аудит является глобальным процессом. К примеру, включение аудита событий системы распространяется на диапазон событий. Нельзя контролировать один тип системных событий отдельно от других. Исключением является доступ к объекту: его аудит включается глобально в системе, но также следует запустить аудит определенного объекта (об этом позже).
Вместо того чтобы рассматривать каждый тип событий по категориям, в этой главе я опишу, как запускать и настраивать политики глобального контроля. Вы также узнаете, как настраивать аудит отдельных папок, файлов и принтеров.
Акции, программы скидок. Новости Уфы.
кубаньпласт.рф