Определение событий, подлежащих регистрации
Основные теоретические сведения
2.1.Изучите понятие и свойства аудита ресурсов и событий
Аудит — одна из функций групповой политики Windows XP Professional. Подсистема аудита (auditing) — это инструмент, предназначенный для поддержания безопасности в сети и позволяющий отслеживать действия пользователей, а также действия операционной системы Windows XP Professional, называемые событиями (events). Средствами аудита можно задать режим, при котором Windows XP Professional регистрирует события в журнале безопасности (security.log). В нем хранятся записи об успешных и неудачных попытках входа в систему и о таких событиях, как создание, открытие и закрытие файлов или других объектов. Запись аудита в журнале безопасности содержит данные о:
• выполненных операциях;
• пользователях, выполнивших операцию;
• успешном или неуспешном выполнении операции, кроме того, указывается время, когда произошло данное событие.
Планирование политики аудита
Понятие о политике аудита
Политика аудита (audit policy) задает типы событий системы безопасности, которые Windows XP Professional регистрирует в журнале безопасности каждого компьютера. Журнал безопасности позволяет отслеживать заданные события.
Система Windows XP Professional регистрирует событие в журнале безопасности того компьютера, на котором событие происходит. Так, каждый раз, когда кто-нибудь пытается войти в систему и попытка входа оказывается неудачной, Windows XP Professional регистрирует событие в журнале безопасности данного компьютера.
Можно настроить политику аудита для данного компьютера на выполнение следующих операций:
• выявление успешных или неудачных действий, например попыток входа пользователей в систему или отдельного пользователя прочитать указанный файл, изменения учетной записи пользователя или принадлежности к группе, изменение параметров безопасности;
• исключение или минимизация риска неавторизованного использования ресурсов.
Для просмотра событий, зарегистрированных системой Window-XP Professional в журнале безопасности, используется утилита. Просмотр событий (Event Viewer). Можно также сохранять файлы журнала в архиве для выяснения закономерностей за указанный период времени — например, чтобы определить частоту использования принтеров или файлов или выявление попыток неавторизованного использования ресурсов.
Определение событий, подлежащих регистрации
При планировании политики аудита нужно определить, какие события следует регистрировать и на каких компьютерах надо установить аудит. По умолчанию аудит отключен.
Можно регистрировать следующие типы событий:
• попытки доступа к файлам и папкам;
• вход в систему и выход из нее;
• выключение компьютера с Windows XP Professional;
• запуск компьютера с Windows XP Professional;
• изменения учетных записей пользователей и групп;
• попытки изменения объектов Active Directory (только если компьютер с Windows XP Professional является частью домена).
После того как типы регистрируемых событий заданы, нужно определить, регистрировать ли успешные действия, неудавшиеся попытки или оба вида событий.
Отслеживание успешных действий дает информацию о том, как часто система Windows XP Professional или пользователи обращаются к конкретным файлам, принтерам или другим объектам; эта информация пригодится для планирования ресурсов.
Регистрация неудачных попыток позволяет выявить слабые места в защите системы. Так, если зафиксировано несколько неудачных попыток входа в систему под определенным именем пользователя, особенно в нерабочее время, можно предположить, что неавторизованный пользователь пытается «взломать» систему. Кроме того, при выборе политики аудита руководствуйтесь правилами:
• Определите, нужно ли отслеживать закономерности загрузки системы. Если да, то предусмотрите сохранение журналов событий в архиве. Это позволит контролировать распределение загрузки по времени и заранее планировать увеличение ресурсов системы.
• Часто просматривайте журналы безопасности. Обязательно установите расписание и регулярно просматривайте журналы безопасности, так как выполнение аудита само по себе не предупреждает о слабых местах в защите системы.
• Задайте информативную и работоспособную политику аудита. Всегда регистрируйте попытки доступа к жизненно важным и конфиденциальным данным. Регистрируйте только те события, которые дают существенную информацию. Это снижает потребление ресурсов компьютера до минимума и упрощает поиск нужной информации. Регистрация большого числа событий может привести к чрезмерной трате системных ресурсов Windows XP Professional.