пис аудиту створюється шкірного разу, коли користувач успішно отрімує доступ до об» єкту з Вказаним системним списком Керування доступом. Если цею параметр налаштованості для реєстрації значень Відмова, запис аудиту створюється шкірного разу, коли користувач безуспішно намагається отріматі доступ до об'єкта з Вказаним системним списком Керування доступом.
При налаштуванні системних Списків управління доступом організації повінні візначаті Тільки ті Дії, Які звітність, Включити. Наприклад, может знадобітіся Включити параметр Аудит запису и додавання Даних для EXE-файлів, щоб відслідковувати їх зміну або заміну, так як віруси, «черв'яки» и «троянські коні» зазвічай вплівають на EXE-файли. Крім того, может знадобітіся відстеження доступу до конфіденційніх документів и їх Зміни.
В прінціпі помощью категорії Аудит доступу до об «єктів можна стежіті за доступом до файлів, папок, принтерів, розділамі Реєстру та системних служб, альо в більшості віпадків дана категорія вікорістовується для відстеження доступу до файлів и папок . Як Тільки буде включень аудит по даній категорії, у Журналі безпеки відразу ж відобразіться Деяк кількість подій, что стосують доступу до об »єктів в базі безпеки SAM. Однак будь-яких других подій, пов «язаних з доступом до файлів або іншім об» єктам, ві тут не побачим, оскількі КОЖЕН про «єкт має свои налаштування параметрів аудиту, а за замовчуванням почти у всех об» єктів аудит відключеній. Це правильна практика, оскількі, ЯКЩО в Системі буде включень аудит СПРОБА доступу до шкірного файлу або про «єкта, то дана система до своєї повної зупинка буде займатись Тільки Обробка ціх подій, а ее журнал безпеки Швидко переповніться, Незалежності від призначеня Йому об» єму . Рекомендується застосовуваті Цю категорію позбав до критично ВАЖЛИВО файлів, Дійсно вімагає механізмів стеження за доступом до них.
Події аудиту
Як вже згадувать раніше, Windows XP реєструє в журналах відбуваються події, Які відслідковуються політікою аудиту. Користуючися інформацією журналів подій, можна отріматі Відомості про неполадки апаратного та програмного забезпечення, а такоже спостерігаті за подіямі безпеки Windows. Управляти и переглядаті вміст журналів подій можна помощью утіліті Перегляд подій (Event Viewer). Windows XP запісує події в три журнали:
· Системний журнал (system log) містіть ПОВІДОМЛЕННЯ про помилки, Попередження и іншу інформацію, вітікаючу від операційної системи и компонентів сторонніх віробніків. Список подій, что реєструються в цьом Журналі, зумовленості операційною системою и компонентами сторонніх віробніків и НЕ может буті зміненій користувачем. Журнал находится в файлі Sysevent.evt.
· Журнал безпеки (Security Log) містіть інформацію про успішні и невдалі СПРОБА Виконання Дій, что реєструються засобой аудиту. Події, Які реєструються в цьом Журналі, візначаються завданні вами стратегією аудиту. Журнал находится в файлі Secevent.evt.
· Журнал Додатків (Application Log) містіть ПОВІДОМЛЕННЯ про помилки, Попередження и іншу інформацію, что Видається різнімі Додатками. Список подій, что реєструються в цьом Журналі, візначається розробниками Додатків. Журнал находится в файлі Appevent.evt.
Всі журнали розміщені в папці% Systemroot% System32 Config. Журнали подій можна переглядаті з будь-якого комп «ют...