|
Руководство по безопасности Windows ® 7 Набор средств по управлению соответствием требованиям безопасности
|
| bet | 23/91 | | Sana | 18.02.2022 | | Hajmi | 1.32 Mb. | | #15622 | | Turi | Руководство |
Logon/Logoff (события входа и выхода из системы). Эта категория позволяет отслеживать события создания и прекращения сеансов входа. События происходят на компьютере, к которому производится доступ. Так, при интерактивном входе событие произойдет на компьютере, где осуществлен вход, а при сетевом — на компьютере, где расположены ресурсы, к которым производится обращение.
Если параметру Audit logon events (аудит событий входа в систему) задать значение No auditing (нет аудита), будет трудно, а то и невозможно, установить, кто именно обращался к каким-либо компьютерам или пытался это сделать.
Object Access (доступ к объектам). Сам по себе этот параметр политики не приведет к появлению каких-либо событий. Он лишь определяет, следует ли вести аудит обращений пользователей к тем объектам, например файлам, папкам, разделам реестра или принтерам, для которых указана системная таблица управления доступом (SACL).
Таблица SACL состоит из записей управления доступом (ACE). Каждая запись состоит из трех элементов:
отслеживаемый участник безопасности (пользователь, компьютер или группа);
отслеживаемые типы доступа, образующие маску доступа;
параметр, указывающий, отслеживать ли только неудачные попытки обращений, только успешные или обе категории.
Если задать параметру Audit object access (аудит доступа к объектам) значение Success (успех), запись аудита будет создаваться каждый раз, когда пользователю разрешается доступ к объекту, которому присвоена таблица SACL. Если же задать значение Failure (отказ), запись будет создаваться каждый раз, когда пользователю отказывается в доступе к объекту с присвоенной таблицей SACL.
При создании таблиц SACL следует вносить в них только те действия, которые реально требуется отслеживать. Например, для исполняемых файлов можно включить параметр Write and Append Data auditing (аудит записи и дозаписи данных), потому что это позволит отслеживать изменение или замену таких файлов, а компьютерные вирусы, черви и троянские программы обычно внедряются в исполняемые файлы. Тем же способом можно отслеживать доступ или изменения в особо важных документах.
Policy Change (изменение политики). Здесь можно назначить аудит каждого случая внесения изменений в политики назначения прав пользователей, политики брандмауэра Windows, политики доверия или сами политики аудита. Рекомендуемые параметры позволят отслеживать ситуации, в которых производится попытка повысить уровень своих привилегий — например, попытка добавления привилегии Debug programs (отладка программ) или привилегии Back up files and directories (архивирование файлов и каталогов).
|
| |
