Тема 4  Аудит событий безопасности OC Windows.

Журнал безопасности содержится в файле vindovs 5у51еш32СопГщ8есеуеп1. еу1, а доступ к нему осуществляется с помощью функции «Просмотр событий» панели управления yindows.

Значения параметров политики аудита могут быть заданы в окне задания значений параметров локальной политики безопасности, в специальном окне определения значений параметров аудита и в окне свойств самого журнала аудита событий безопасности при его просмотре.

С помощью задания значений параметрам безопасности и аудита администратор указывает, какие события должны регистрироваться в журнале аудита. Возможна регистрация следующих событий:

• • входа в систему;
• • доступа к объектам;
• • доступа к службе каталогов;

Для каждой категории регистрируемых событий администратор может указать тип события (успешное и (или) неудачное завершение) либо отменить его регистрацию в журнале аудита. Заметим, что при аудите использования привилегий регистрируются попытки использования не всех возможных привилегий, а лишь тех, которые считаются потенциально опасными с точки зрения разработчиков подсистемы безопасности Vindows (например, создание маркерного объекта или создание журналов безопасности). Следует отметить, что не все объективно опасные привилегии входят в этот список.

К системным событиям, которые могут регистрироваться в журнале аудита, относятся:

• • перезагрузка операционной системы;
• • завершение работы операционной системы;
• • загрузка пакета аутентификации;
• • запуск процесса входа;
• • сбой при регистрации события в журнале аудита;
• • очистка журнала аудита;
• • загрузка пакета оповещения об изменении в списке пользователей.

В операционной системе Windows Vista и старше к числу параметров аудита добавлен параметр «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (ОС Windows Vista или более поздние версии)». ОС Windows Vista и более поздние версии Windows позволяют точнее управлять политикой аудита при помощи подкатегорий политики аудита. Установка политики аудита на уровне категории переопределит новую функцию политики аудита подкатегории. Существующие категории параметров аудита сохранились, но разбиты на подкатегории, каждую из которых можно активизировать для регистрации удачного и/или неудачного события.

Например, категория «Аудит доступа к объектам» включает в себя следующие подкатегории:

• • аудит доступа к объектам файловой системы;
• • аудит доступа к объектам реестра;
• • аудит доступа к объектам ядра;
• • аудит доступа к SAM;
• • аудит операций службы сертификации;
• • аудит событий, созданных приложением;
• • аудит работы с дескриптором безопасности объекта;
• • аудит доступа к общим папкам;
• • аудит доступа к файлам и папкам в общих папках;
• • аудит отбрасывания пакета платформой фильтрации;
• • аудит подключения платформы фильтрации;
• • аудит других событий доступа к объекту.

Категория «Аудит входа в систему» включает следующие подкатегории:

• • аудит входа в систему;
• • аудит выхода из системы;
• • аудит блокировки учетной записи;
• • аудит основного режима IPsec;
• • аудит быстрого режима IPsec;
• • аудит расширенного режима IPsec;
• • аудит специального входа;
• • аудит других событий входа и выхода;
• • аудит сервера сетевых политик.

В ОС Windows 7 и старше расширенные политики аудита можно настроить и развернуть с помощью групповой политики домена или с помощью утилиты командной строки auditpol.

Параметрами журнала аудита, которые может изменить администратор, являются максимальный размер журнала и реакция операционной системы на его переполнение:

• • переписывать события при необходимости (сначала старые события);
• • архивировать журнал при заполнении, не перезаписывать события;
• • не переписывать события (очистить журнал вручную).