Простое проведение аудита определенных событий или объектов бессмысленно, если вы не занимаетесь их активным обзором и анализом. Windows ХР записывает события, для которых проводится аудит, в журнал Безопасность (Security), чтобы можно было использовать Просмотр событий (Event Viewer) для просмотра этих событий. На рис. 13.8 показан набор событий аудита в журнале Безопасность.
Просмотр событий хорошо работает, когда нужно просмотреть небольшое количество событий аудита либо только события отдельного компьютера. Однако если требуется расширить аудит и анализ до нескольких компьютеров или до целой организации, потребуются другие инструменты. Инструменты сторонних разработчиков, которые позволяют собирать данные и анализировать журналы событий, дают такие же возможности анализа событий аудита. Обратитесь к главе 11 для получения инерормации о приложениях сторонних разработчиков, которые позволят выполнить-это.
При включении аудита можно выбрать несколько вариантов.
Не проводить аудит. Вы можете решить, что не будете проводить аудит каких бы то ни было событий или объектов. Это справедливое решение для очень маленькой сети, которая не имеет частого или продолжительного подключения к Интернету и где у пользователей нет проблем или риска для безопасности. Если у вас такая сеть, поздравляю! Вам. не нужен аудит. Однако если пользователи находятся в реальном мире, скорее всего, потребуется определенный уровень аудита.
Аудит всего. В сетях, которые должны быть полностью безопасными, бывает необходим аудит всех событий. Помните, что это приведет к появлению огромного количества данных в журналах, поэтому потребуется изменить их размер и тщательно анализировать. Я настойчиво рекомендую использовать решения сторонних разработчиков (см. главу 11). Используйте аудит только событий отказов без успешных событий, если только не требуется сохранять историю успешных входов в систему или других действий.
Аудит определенных пользователей. Другим вариантом может быть аудит только определенных пользователей или групп. К примеру, аудит пользователей, представляющих возможную угрозу безопасности или вызывающих
Как проводить аудит для улучшения безопасности
проблемы, намеренно или случайно пытающихся получить доступ к запрещенным ресурсам либо выполнить задачи, на которые у них нет прав. Записи такого типа помогут более эффективно наблюдать за этими пользователями и при необходимости предоставить запись для окончания поддержки или других действий.
Аудит действий администрирования. За исключением небольших сетей с одним или двумя администраторами, обычно нужно следить за действиями администраторов, как и за попытками неправомерного использования административных прав. Последнее важно для сети любого размера. В частности, отслеживать вход под группой или учетной записью администратора и выполняемые действия, такие как изменение политик, создание или изменение учетных записей и другие задачи администрирования, которые могут представлять угрозу для сети.
Аудит папок и файлов. При обеспечении доступа к важным документам по сети следует отслеживать доступ и использование этих документов. Кроме этого, следите за попытками смены авторства или прав доступа к папке или файлу, что может привести в нежелательным последствиям.