Информационная безопасность. Макаренко С.И. - 308 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

308
5. аудит изменения политики, успех или неудача;
6. аудит использования привилегий, неудача;
7. аудит системных событий, успех или неудача.
Рис. 20.14 - Настройка политики аудита в системе Windows 2000
При аудите доступа к объектам может генерироваться достаточно
большое число записей журнала, даже если включена только опция записи
неудачных событий. Тщательно отслеживайте новую систему и убедитесь,
что по этой причине не происходит переполнение файлов журналов.
20.4.1 Журнал событий безопасности
Записи журнала аудита в системе Windows 2000 создаются в журнале
событий безопасности, который расположен в папке
\%systemroot%\system32\config. Разрешения журнала событий безопасности
предоставляют доступ только администраторам. Администраторы должны
регулярно проверять файлы журналов. Так как записи файлов журналов
являются самым лучшим средством выявления неполадок в системе или
несанкционированных действий пользователей, то, если администраторы не
будут просматривать файлы журналов, смысл фиксирования информации
сведется к нулю, в котором рассказывается о признаках подозрительной
активности).
Если регулярно производится резервное копирование системы, файлы
журнала также должны резервироваться. Если журналы событий нужно
сохранять на более длительные периоды времени, рекомендуется
периодически перемещать файлы журналов с системы. Файлы можно
сохранять в виде текстовых файлов посредством команды Save As (Сохранить
как) в меню Aсtion (Действие) в программе Event Viewer (Просмотр событий). 
     5. аудит изменения политики, успех или неудача;
     6. аудит использования привилегий, неудача;
     7. аудит системных событий, успех или неудача.




      Рис. 20.14 - Настройка политики аудита в системе Windows 2000

      При аудите доступа к объектам может генерироваться достаточно
большое число записей журнала, даже если включена только опция записи
неудачных событий. Тщательно отслеживайте новую систему и убедитесь,
что по этой причине не происходит переполнение файлов журналов.

                   20.4.1 Журнал событий безопасности

       Записи журнала аудита в системе Windows 2000 создаются в журнале
событий       безопасности,        который      расположен        в     папке
\%systemroot%\system32\config. Разрешения журнала событий безопасности
предоставляют доступ только администраторам. Администраторы должны
регулярно проверять файлы журналов. Так как записи файлов журналов
являются самым лучшим средством выявления неполадок в системе или
несанкционированных действий пользователей, то, если администраторы не
будут просматривать файлы журналов, смысл фиксирования информации
сведется к нулю, в котором рассказывается о признаках подозрительной
активности).
       Если регулярно производится резервное копирование системы, файлы
журнала также должны резервироваться. Если журналы событий нужно
сохранять на более длительные периоды времени, рекомендуется
периодически перемещать файлы журналов с системы. Файлы можно
сохранять в виде текстовых файлов посредством команды Save As (Сохранить
как) в меню Aсtion (Действие) в программе Event Viewer (Просмотр событий).




                                     308

Страницы