Для налаштування аудиту в якості об'єкта аудиту виберіть папку або файл, в діалоговому вікні Властивості використовуйте вкладку Безпека і по кнопці Додатково перейдіть в діалогове вікно Параметри управління доступом. Відкрийте вкладку Аудит (рис. 5.3). Додайте користувачів або групи (кнопка Додати).
Змініть налаштування існуючих користувачів (кнопка Перегляд/Редагування) у вікні Параметри аудиту (рис. 5.4).
Якщо встановлюються прапорці події Успіх, то Windows запише в журнал Безпека (Security ) події, їх час і дату для кожної успішної спроби даного користувача або члена групи вчинити дії щодо вказаного файлу або папки.
Аналогічним чином, якщо ви встановлюєте прапорець події Відмова, Windows запише в журнал Безпека (Security) події, їх час і дату для кожної неуспішною спроби даного користувача або члена групи вчинити дії щодо вказаного файлу або папки. Для перегляду зафіксованих системою подій аудиту служить оснастка Перегляд подій, доступна на локальному комп'ютері в розділі Адміністрування панелі управління або в розділі Адміністрування домену. Можна запустити оснастку командою eventvwr.msc (рис. 5.5). Дана оснастка відкриває доступ до тремжурналам, заповнюваним системою: Додаток (Application), Безпека (Security), Система (System). При виконанні аудиту заповнюється журнал Безпека. У ньому для кожної події для об'єктів аудиту створюється відповідна запис, яку можна переглянути, двічі клацнувши по ній , як це показано на рис. 5.5 і 5.6.
Завдання до практичного заняття
З метою освоєння налаштування аудиту та його використання для підвищення безпеки системи виконайте такі дії.
1. Увійдіть на віртуальну машину з обліковим записом адміністратора.
2. Активізуйте засобами політики безпеки аудит доступу до об'єктів (Успіх і Відмова).
3. Створіть тимчасову папку і текстовий файл всередині неї.
4. Виберіть цю папку як об'єкт аудиту.
5. Налаштуйте аудит доступу до папки для адміністратора і користувача комп'ютера, обмеживши користувача в можливих діях з папкою і файлом, щоб у ряді випадків відбувалася подія Відмова.
6. Виконайте ряд типових дій з папкою і файлом від імені адміністратора і потім від імені користувача.
7. Прочитайте журнал подій Безпека і знайдіть в ньому записи, в яких відображено ваші дії з об'єктами як від імені адміністратора, так і від імені користувача. Зробіть відповідні висновки.
8. Результати у вигляді екранів і текстів повинні бути збережені у файлі звіту з практичного заняття і представлені до захисту.
9. Самостійно освойте настройку аудиту для принтерів.
Контрольні запитання
1. Яка роль аудиту в забезпеченні безпеки комп'ютерної системи?
2. Де і яким чином формується інформація про події аудиту?
3. Яка інформація може бути отримана в результаті аудиту?
4. Які типи аудиту ви знаєте і для чого призначений кожен з них?
5. Яким чином активізується ...
