 |
Лабораторные задания и методические указания
|
|
|
|
ПО ИХ ВЫПОЛНЕНИЮ
Первое лабораторное задание
Планирование и настройка политики аудита ресурсов и событий
Планирование политики аудита
Для планирования политики аудита компьютера прежде всего нужно ответить на несколько вопросов.
• Какие типы событий регистрировать?
• Регистрировать успешные, неудачные попытки или оба вида событий?
Принимая решение, руководствуйтесь правилами, описанными далее.
• Необходимо регистрировать неудачные попытки доступа к компьютеру.
• Необходимо регистрировать неавторизованный доступ к файлам, составляющим базу данных по клиентам.
• Необходимо отслеживать использование цветного принтера для подготовки счетов за его использование.
• Необходимо следить, не пытается ли кто-либо изменить аппаратную конфигурацию компьютера.
• Необходимо вести учет действий, выполняемых администратором, чтобы отследить неавторизованные изменения.
• Необходимо вести учет процедур резервного копирования для предотвращения хищения данных.
• Необходимо отслеживать неавторизованный доступ к критически важным объектам Active Directory.
Ваши решения по аудиту перечисленных действий, успешных или неудачных попыток или обоих видов событий запишите в таблице.
| Регистрируемое действие | Успех | Отказ |
| События входа в систему | ||
| Управление учетными записями | ||
| Доступ к службе каталогов | ||
| Вход в систему | ||
| Доступ к объектам | ||
| Изменение системной политики | ||
| Использование привилегий | ||
| Отслеживание процесса | ||
| Системные события |
Настройка политики аудита
1. Войдите в систему под любой учетной записью, входящей в группу Администраторы (Administrators).
|
|
|
2. Щелкните Пуск (Start), щелкните Выполнить (Run), в поле Открыть (Open) наберите mmc и щелкните ОК.
3. В окне Консоль 1 (Console 1), в меню Консоль (File), щелкните Добавить или удалить оснастку (Add/Remove Snap-In).
4. В окне Добавить или удалить оснастку (Add/Remove Snap-In) щелкните кнопку Добавить (Add),
5. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) выберите в списке оснастку Групповая политика (Group Policy) и щелкните кнопку Добавить (Add).
6. Убедитесь, что в поле Объект групповой политики (Group Policy Object) окна Выбор объекта групповой политики (Select Group Policy Object) значится Локальный компьютер (Local Computer), затем щелкните кнопку Готово (Finish).
7. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) щелкните Закрыть (Close).
Заметьте, что в окне Добавить/удалить оснастку (Add/Remove Snap-In) отображается элемент Политика «Локальный компьютер» (Local Computer Policy) несмотря на то, что вы выбрали оснастку Групповая политика (Group Policy). Дело в том, что для локального компьютера Групповая политика (Group Policy) означает то же самое, что и Политика «Локальный компьютер» (Local Computer Policy).
8. В окне Добавить/удалить оснастку (Add/Remove Snap-In) щелкните кнопку Закрыть (Close).
9. В дереве консоли дважды щелкните элемент Политика «Локальный компьютер» (Local Computer Policy).
10. Дважды щелкните элемент Конфигурация компьютера (Computer Configuration), затем дважды щелкните элемент Конфигурация Windows (Windows Settings).
11. Дважды щелкните элемент Параметры безопасности (Security Settings), затем дважды щелкните элементе Локальные политики (Local Policies).
12. Щелкните элемент Политика аудита (Audit Policy). В правой панели окна Политика «Локальный компьютер» (Local Computer Policy) отобразятся текущие параметры политики аудита как показано на рис. 1.
13. Чтобы настроить политику аудита, в списке укажите Аудит входа в систему (Audit Logon Events) и в меню Действие (Action) щелкните пункт Свойства (Properties), появится окно Свойства: аудит входа в систему (Audit Account Logon Events Properties), как показано на рис. 2. Или в правой части окна дважды щелкните каждый тип события и установите флажок Успех (Audit Successful Attempts) или Отказ (Audit Failed Attempts) согласно следующей таблице.
|
|
|
| Событие | Успех | Отказ |
| События входа в систему | ||
| Управление учетными записями | X | |
| Доступ к службе каталогов | ||
| Вход в систему | X | |
| Доступ к объектам | X | X |
| Изменение политики | X | |
| Использование привилегий | X | |
| Отслеживание процесса | X | X |
| Системные события |
14. Закройте консоль ММС и сохраните локальную групповую политику.
15. Перезапустите компьютер, чтобы изменения немедленно вступили в силу.
Рис. 1. События, для которых можно включить аудит в Windows XP Professional
Рис. 2. Окно Свойства: аудит событий входа в систему
Совет: команда gpupdate позволяет обновлять параметры как локальной групповой политики, так и политики для объектов Active Directory, включая параметры безопасности. Чтобы обновить параметры на локальном компьютере, войдите в режим командной строки, наберите gpupdate и нажмите Enter. Для получения более полного описания команды gpupdate в меню Пуск (Start) щелкните Справка и поддержка (Help And Support) и используйте поиск для нахождения строки gpupdate.
|
|
|
