Типы событий, которые могут проверяться в Windows
Событие
|
Описание
|
События входа в систему с учет- ной записью
|
Контроллер домена получил запрос на проверку правильности учетной записи пользователя
|
Управление учетной запи- сью
|
Администратор создал, изменил или удалил учетную запись или группу. Учетная запись пользователя была изменена, включена или вы-
ключена, или пароль был установлен или изме- нен
|
Доступ к службе каталогов
|
Пользователь получил доступ к объекту Active Directory . Вы должны указать конкретные объ- екты Active Directory для отслеживания этого
типа события
|
События входа в систему
|
Пользователь входил в систему и выходил из нее
или подключился/не смог подключиться по сети к данному компьютеру
|
Доступ к объек- ту
|
Пользователь получил доступ к файлу, папке или принтеру. Вы должны указать файлы, папки или принтеры для проверки. Режим проверки доступа к службе каталогов проверяет доступ пользователя к определенному объекту Active Directory. Режим доступа к объекту проверяет доступ пользователя к файлам, папкам или
принтерам
|
Изменение по- литики
|
Были сделаны изменения в пользовательских настройках безопасности, правах пользователя
или политиках аудита
|
Использование привилегий
|
Пользователь применил права, например, по из- менению системного времени. (Сюда не вклю- чаются права, связанные с входом в систему и
выходом из нее)
|
Отслеживание процесса
|
Пользователь произвел действие. Эта информа- ция полезна программистам, желающим отсле- дить детали выполнения программы
|
Системное со- бытие
|
Пользователь перезагрузил или выключил ком- пьютер, или произошло событие, влияющее на безопасность Windows или на журнал безопас- ности. (Например, журнал аудита переполнен, и Windows не смогла записать новую информа-
цию)
|
Аудит_доступа'>Аудит доступа к файлам и папкам
Аудит для файлов и папок можно устанавливать на разде- лах NTFS. Для аудита доступа пользователя к файлам и папкам сначала надо включить режим политики Audit object access (Аудит доступа к объектам), включающий файлы и папки.
Установив режим проверки доступа к объектам в политике аудита, задайте аудит для определенных файлов и папок, указав, какие типы доступа и каких пользователей или групп подлежат проверке. Чтобы начать аудит файла или папки, откройте для этого объекта диалоговое окно свойств и на вкладке Security (Безопасность) щелкните кнопку Advanced (Дополнительно). Перейдите на вкладку Auditing (Аудит) и задайте параметры аудита для этого объекта.
Аудит доступа к объектам Active Directory
Для аудита доступа к объектам Active Directory надо включить политику аудита и настроить аудит для определенных объектов: пользователей, компьютеров, ОП или групп с указа- нием, какие типы доступа и доступ каких пользователей подле- жат проверке.
Для установки аудита доступа к объектам Active Directory включите политику Audit directory services access (Аудит досту- па к службе каталогов) в оснастке Group Policy (Групповая по- литика).
Аудит доступа к принтерам
Можно проверять доступ к принтерам, чтобы отслеживать доступ к уязвимым принтерам. Для установки аудита доступа к принтерам активизируйте политику Audit Object Access (Аудит доступа к объектам), которая включает и аудит принтеров. За- тем установите аудит для конкретных принтеров и укажите, ка- кие типы доступа и доступ каких пользователей подлежат ауди- ту. После выбора конкретного принтера сделайте то же, что и при установке аудита для файлов и папок.
Do'stlaringiz bilan baham: |