Instrumentul optim este politicile de grup (se aplică la OU a serverelor monitorizate). Este posibil să utilizați politici locale similare pentru fiecare server

„Setări computer\Setări Windows\Setări de securitate\Configurare politică avansată de audit\politici de audit de sistem\acces la obiect\sistem de fișiere de audit” => „evenimente de audit: succes” activat.

Este foarte puțin probabil să aveți nevoie să monitorizați încercările eșuate de a accesa fișierele. Nu neg că este posibil. Dar mai des trebuie să aflați cine a șters (sau a încărcat) fișierul.

2. Configurarea auditului pe foldere specifice

În plus, direct pe serverele care stochează date, folosind Explorer, mergând la proprietățile folderului pe care doriți să îl monitorizați, activați setările de audit pentru grupul pe care doriți să îl monitorizați. De exemplu, Toată lumea, dacă dorim să urmărim orice modificări ale oricăror posibili utilizatori și servicii:

„Ștergeți subfolderele și fișierul - Reușit”

„Șterge – Reușit”

„Creați fișiere / scrieți date - Reușit”

„Creați foldere / adăugați date - Reușit”

3. Monitorizarea evenimentelor

După aceea, evenimentele vor apărea în jurnalele serverului (pe care sunt stocate fișierele) în Jurnalul de evenimente de securitate atunci când fișierele și subdirectoarele sunt create și șterse din folderele de mai sus.

Puteți urmări anumiți participanți la operațiune folosind două evenimente:

ID eveniment: 4660
Descriere: un obiect a fost șters.

• Indică faptul că fișierul a fost șters.
• Conține contul persoanei care a efectuat operația de ștergere
• Nu conține un nume de fișier. Doar ID-ul său de mâner

ID eveniment: 4663
Descriere: a fost făcută o încercare de a accesa un obiect.

• Raportează orice încercare de a accesa un fișier.
• Conține contul persoanei care a efectuat operația.
• Conține ID-ul mânerului și numele fișierului (Numele obiectului)
• Mască de acces - mască de acces - determină în ce scopuri s-a încercat accesarea fișierului

Tipuri de măști de acces:

Sursă cheie de informații - evenimente 4663:

Capitol subiect conține informații despre contul în care au fost efectuate operațiuni asupra obiectului.

Obiect- informații despre fișier (cale, nume, handle)

Informații de proces conține informații despre ce proces a efectuat operațiuni pe fișier.

În capitolul Informații despre solicitare de acces conține informații despre tipul de acces și masca de acces.

La crearea de fișiereîn folderul specificat, o pereche de evenimente cu ID 4663 , primul cu mască 0x2, al doilea cu mască 0x4.

La ștergerea unui fișier apare un eveniment cu ID 4663 si masca de acces 0x10000, precum și evenimentul 4660 . Puteți determina ce fișier a fost șters de evenimentul 4660 găsind evenimentul 4663 care îl precede, care are un handle identic.

Pentru a analiza jurnalele, puteți utiliza instrumentul LogParser https://www.microsoft.com/en-us/download/details.aspx?id=24659 și, de exemplu, această solicitare:

LogParser.exe -i:evt „SELECT TimeGenerated, EventID, Extract_Token(Strings, 1,'|') AS User, Extract_Token(Strings, 6, '|') AS File, Extract_Token(Strings, 7, '|') AS HandleID ÎN 111.docx.txt DE LA „C:\ \*.evtx' WHERE (STRCNT(Strings, '111.docx') >0) ORDER BY TimeGenerated DESC"

Unde „111.docx” este șirul de căutare și C:\ \*.evtx – calea către fișierele jurnal încărcate în format EVTX. LogParser înțelege și alte formate.

Fiecare dintre jurnalele acumulează un număr mare de evenimente, în care uneori este dificil să găsești evenimentele necesare. Rețineți mai întâi că făcând clic pe antetul oricărei coloane din consolă (snap) " Vizualizator de eveniment" vă permite să sortați evenimentele în ordine crescătoare sau descrescătoare a valorilor acestei coloane. Pentru o selecție mai precisă a evenimentelor dorite, instrumentele de filtrare sunt utilizate în " Vizualizator de eveniment". Dacă deschideți proprietățile oricărui jurnal, atunci în panoul care se deschide, cu excepția " Sunt comune", există și un marcaj" Filtru", care vă permite să setați reguli pentru selectarea evenimentelor. Să ne uităm cu atenție la această filă (Fig. 16.4):

Orez. 16.4.

Puteți seta reguli de selecție:

• după tipul de eveniment - notificări, avertismente, erori, audit de succes, audit de eșec;
• după sursă (de exemplu, componente ale sistemului Alerta, Browser, DCOM, DHCP, disc, jurnalul de evenimente, Server, Sistem si etc.);
• categorie (ex. Disc, Coajă, Imprimante, Net, Servicii, Dispozitive si etc.);
• prin codul evenimentului cunoscut;
• după numele de utilizator;
• după numele computerului;
• setați perioada de timp - de la ce până la ce moment în timp pentru a selecta evenimente.

Audit

Configurarea politicilor de audit este un factor important în asigurarea securității și integrității sistemului. Fiecare sistem informatic din rețea trebuie configurat pentru a înregistra anumite evenimente legate de securitate. Politicile de audit determină ce evenimente de securitate a sistemului trebuie înregistrate. Siguranță ".

Procesul de audit de securitate este configurat utilizând politici de grup (reamintim că politicile de grup pot fi definite pentru un site, domeniu sau unitate organizațională, precum și pentru o stație de lucru sau un server individual). Opțiunile de auditare de securitate se află sub „ Opțiuni de securitate - Politici locale - Politici de audit"orice GPO.

După aplicarea politicilor, vom configura auditarea accesului pentru obiectele necesare (de exemplu, pentru folderul Folder1 de pe server DC1) - deschis Proprietăți acest folder (dosarul trebuie să fie localizat pe o partiție cu sistemul de fișiere NTFS), accesați fila " Siguranță", apasa butonul" În plus"și mergi la marcaj" Audit". Să adăugăm grupul " Utilizatori de domeniu" și setați ce încercări vor fi înregistrate " Siguranță" (de exemplu, încercări de ștergere a dosarelor și fișierelor, cu succes și fără succes,

Categoria de audit Auditarea accesului la obiect Windows 2000 este o sursă importantă de informații despre activitățile utilizatorilor de rețea la nivel de sistem de operare. Folosind această categorie, puteți determina sursa, ora și metoda de acces la fișiere, foldere, chei de registry și imprimante. Prin asocierea evenimentelor de acces la obiect cu evenimentele corespunzătoare de înregistrare a procesului sau de execuție, puteți afla detaliile specifice ale sesiunii în timpul căreia s-a încercat accesul sau din ce aplicație a încercat utilizatorul să deschidă obiectul.

Control pe două niveluri

Pentru a monitoriza accesul la obiecte, trebuie să organizați auditarea Windows 2000 atât la nivel de sistem, cât și la nivel de obiect. Mai întâi trebuie să activați categoria de acces la obiect Audit pentru evenimentele de succes și eșec. (Pentru mai multe informații despre cum să utilizați politica de audit de sistem, consultați articolul „Monitorizarea evenimentelor de conectare în Windows 2000”. Pentru o listă completă a articolelor acestui autor despre jurnalele de securitate Windows 2000 și Windows NT, consultați bara laterală „În versiunile anterioare” - Ed.) Apoi este necesar să se asigure un audit al obiectului controlat. Fiecare obiect are două ACL (Access Control List): un delimitator ACL (DACL) și un sistem ACL (SACL).

Lista DACL. DACL listează utilizatorii care au acces la obiect și cum îl pot accesa. (Termenul ACL este adesea folosit în loc de DACL.) Pentru a deschide DACL-ul unui obiect din Windows Explorer (pentru foldere și fișiere) sau fereastra Imprimante (pentru imprimante), faceți clic dreapta pe obiect, selectați Proprietăți și accesați fila Securitate (vezi Ecranul 1). Această filă este o vizualizare simplificată a DACL, care arată permisiunile pentru un singur utilizator sau grup. Pentru a vedea lista completă de DACL, faceți clic pe butonul Avansat. Se deschide caseta de dialog Setări control acces a obiectului, prezentată în Figura 2.

Lista SACL. SACL listează acțiunile asupra unui obiect care sunt auditate de Windows 2000. SACL-ul unui obiect constă din elemente de control al accesului (ACE). Elementul ACE definește cu precizie tipurile de acces care sunt înregistrate în jurnalul de securitate Windows 2000 atunci când un anumit utilizator sau grup accesează un obiect. Un steag special pentru fiecare ACE indică dacă intrarea este un succes sau un eșec. Pentru a accesa SACL-ul unui obiect, deschideți caseta de dialog Setări control acces și accesați fila Audit. Fiecare element din secțiunea Intrări de audit este un ACE. Figura 3 arată lista SACL pentru fișierul exemplu (payroll.xls) din Figura 3, pe care Windows 2000 va verifica dacă există încercări de scriere reușite și încercări de citire eșuate făcute de membrii grupului Toată lumea.

Ecran 3. Obiect SACL.

Controlul încercărilor de acces la obiecte

Windows 2000 auditează accesul atunci când un utilizator încearcă să acceseze un obiect printr-o aplicație. Când un utilizator accesează un obiect dintr-o aplicație, programul solicită Windows 2000 un handle pentru obiect. Mânerul este folosit de aplicație pentru a efectua operații asupra obiectului. Înainte de a furniza un handle, Windows 2000 potrivește DACL-ul obiectului cu contul de utilizator care a lansat aplicația și cu tipurile de acces (cum ar fi scrierea sau citirea) solicitate de aplicație. Windows 2000 determină apoi dacă politica de audit de sistem specifică ca rezultatele acestei comparații să fie înregistrate. De exemplu, dacă o încercare de acces eșuează, sistemul verifică dacă politica de audit este activată pentru a înregistra accesările eșuate la obiect.

Dacă politica de audit de sistem specifică ca rezultatul să fie înregistrat, atunci Windows 2000 se ocupă de SACL-ul obiectului. Sistemul examinează fiecare ACE care este relevant pentru rezultat și determină ce elemente identifică contul de utilizator care rulează aplicația și orice grupuri cărora le aparține. Windows 2000 examinează apoi tipurile de acces specificate în acele ACE. Dacă cel puțin un tip de acces din ACE se potrivește cu oricare dintre tipurile de acces solicitate de aplicație, atunci Windows 2000 generează un ID de eveniment 560 „obiect deschis” cu tipul de eveniment corespunzător (Audit de eșec sau Audit de succes). În snap-inul Vizualizator de evenimente Microsoft Management Console (MMC), mesajele de eșec pentru o operațiune sunt marcate cu o pictogramă de lacăt, iar înregistrările de succes sunt marcate cu o pictogramă cheie.

Să presupunem că utilizatorul Harold lucrează cu Microsoft Excel și încearcă să deschidă fișierul payroll.xls. Excel cere Windows 2000 un handle pentru payroll.xls. Windows 2000 compară DACL-ul fișierului cu contul lui Harold și cererea de citire din Excel; conform DACL, Harold nu are permisiunea de citire pentru payroll.xls. După cum arată Figura 2, numai Administratorii și grupul HR au acces la payroll.xls, iar Harold nu este membru al niciunui grup. Windows 2000 descoperă că politica de auditare a sistemului este să înregistreze încercările de acces eșuate la un obiect, așa că se uită la SACL payroll.xls și examinează fiecare ACE care controlează încercările de acces eșuate. Windows 2000 determină care dintre aceste ACE indică contul sau grupul lui Harold din care face parte. După cum arată Figura 3, SACL al obiectului conține un ACE care atribuie operația de citire eșuată grupului Toată lumea, astfel încât Windows 2000 înregistrează evenimentul ID 560 (vezi Figura 4).

Ecran 4. ID eveniment 560 încercare de acces eșuată.

Să presupunem că utilizatorul Sally încearcă, de asemenea, să deschidă fișierul payroll.xls din Excel. Deoarece Sally este membră a grupului HR, poate citi și scrie în fișierul payroll.xls. Politica de audit a sistemului este setată să înregistreze accesările reușite la obiecte, iar SACL-ul fișierului conține un ACE legat de scrierile reușite și grupul Toată lumea, astfel încât Windows 2000 înregistrează evenimentul ID 560 (vezi Figura 5).

Ecran 5. ID eveniment 560 acces reușit.

Înțelegerea câmpurilor de evenimente cu ID 560 este ușoară. Valoarea parametrului Object Server este întotdeauna Security. Câmpul Object Type identifică obiectul de audit - un fișier, folder, cheie de registry, imprimantă sau serviciu. Windows 2000 completează câmpul New Handle ID numai dacă a fost acordat accesul la obiect. Dacă utilizatorul nu are permisiunile corespunzătoare, atunci accesul nu este acordat și Windows 2000 nu creează un ID de ghidare. ID-ul operației este pur și simplu un număr care crește cu unu pentru fiecare operațiune efectuată în Active Directory (AD).

Teoretic, folosind câmpul Process ID, puteți calcula aplicația prin care utilizatorul a deschis obiectul. Cu toate acestea, ID-ul evenimentului corespunzător 592 (proces nou) generat de categoria de urmărire a procesului de audit arată ID-ul procesului într-un format diferit față de toate celelalte evenimente Windows 2000. Potrivit unor rapoarte, dezvoltatorii Microsoft vor rezolva această problemă în versiunile de Windows XP și Windows Server - cunoscut sub numele de Whistler. Pentru evenimentele care reprezintă acces indirect la obiecte, ID-ul procesului identifică aplicația server, nu programul client prin care utilizatorul a deschis obiectul. Dacă utilizatorul deschide un fișier într-un director partajat, ID-ul procesului indică procesul de sistem ca fiind programul care a deschis obiectul. Pentru a verifica aceste informații, puteți deschide Task Manager, mergeți la fila Procese și priviți ID-ul procesului în coloana PID.

Câmpurile Nume utilizator primar și Domeniu primar identifică contul de utilizator care a accesat direct obiectul. Când un utilizator accesează un obiect de pe computerul său local printr-o aplicație desktop, cum ar fi Microsoft Word sau Excel, Numele de utilizator primar și Domeniul principal arată contul computerului, în timp ce câmpurile Nume utilizator client și Domeniul client arată contul de utilizator. De exemplu, ecranul 6 arată ID-ul evenimentului 560, care a fost înregistrat când utilizatorul John s-a conectat la o unitate de rețea pe serverul de fișiere Tecra și a deschis budget.doc. Apoi câmpul Nume utilizator primar conține numele TECRA$ corespunzător contului de server de fișiere din domeniu. Numele utilizatorului client îl identifică pe John ca utilizator client.

Ecran 6. ID eveniment 560 acces indirect.

Câmpurile ID de conectare primar și ID de conectare client conțin ID-ul de conectare atribuit la înregistrarea cu contul de utilizator care a accesat obiectul. Pentru a determina în ce sesiune s-a făcut accesul, ar trebui să vă uitați la evenimentul ID 540 (autentificare la distanță) sau ID-ul 528 (toate celelalte tipuri de autentificare) cu acest identificator (aceste evenimente sunt descrise mai detaliat în articolul „Monitorizarea evenimentelor de conectare în Windows 2000". ) Dacă utilizatorul deschide direct obiectul pe computerul său local, atunci ID-ul de conectare primar al evenimentului ID 560 corespunde ID-ului de conectare al evenimentului ID 528 capturat de Windows 2000 când utilizatorul s-a conectat la sistem; câmpul ID de conectare client este lăsat necompletat. Dacă utilizatorul accesează un fișier pe o mașină la distanță, atunci câmpul ID de conectare primar al evenimentului ID 560 identifică sesiunea asociată cu contul de computer local, iar câmpul ID de conectare client al evenimentului ID 528 corespunde ID-ului de conectare primar.

Câmpul Accesuri specifică tipurile de acces solicitate de aplicație. Unele tipuri de acces sunt specifice unei anumite clase de obiecte, altele sunt aplicabile oricărui obiect. Tabelul 1 listează și descrie cele mai comune tipuri de acces.

Când un utilizator deschide un fișier sau un folder, câmpul Accesuri indică tipurile de acces acordate utilizatorului care sunt specifice acelui folder sau fișier. Aceste tipuri de acces corespund permisiunilor speciale date în DACL-ul fișierului. Parametrii ReadAttributes și WriteAttributes indică faptul că utilizatorul a deschis un fișier cu posibilitatea de a-și modifica proprietățile (numai citire, arhivă, ascuns, sistem). ReadEA și WriteEA se aplică atributelor de fișier extinse specifice aplicației. Pentru a vedea atributele extinse ale unui fișier, deschideți Windows Explorer și faceți clic dreapta pe fișier. Cu Proprietăți selectate, accesați fila Personalizat și apoi fila Rezumat.

Tipul AppendData înseamnă că utilizatorul are dreptul de a adăuga date la fișierul deschis. ReadData și WriteData înseamnă că utilizatorul care a deschis fișierul are capacitatea de a citi sau modifica datele acestuia. Când este setat modul de auditare a pornirii executabile, Windows 2000 înregistrează accesul Execute de fiecare dată când programul este lansat.

Aceleași tipuri de acces - cu diferențe minore - sunt folosite de Windows 2000 pentru a controla operațiunile folderelor. AppendData indică faptul că utilizatorul a creat un subdosar în folder. Windows 2000 înregistrează tipul WriteData atunci când un fișier nou este creat într-un folder. Pentru a determina numele noului fișier sau subfolder, priviți evenimentul ulterior cu ID 560 corespunzător noului obiect copil. Windows 2000 înregistrează tipul ReadData dacă utilizatorul vizualizează conținutul folderului (de exemplu, cu comanda Dir sau prin Windows Explorer).

Completarea unui obiect

Când un utilizator deschide un obiect dintr-o aplicație, Windows 2000 înregistrează evenimentul ID 560, iar când utilizatorul închide obiectul, sistemul de operare înregistrează evenimentul ID 562 (mâner închis). Câmpurile evenimentului cu ID 562 se suprapun cu câmpurile evenimentului cu ID 560.

Ecranul 7. ID eveniment 562.

Acordați atenție câmpului ID nou al evenimentului ID 560 (vezi ecranul 5) și câmpului ID al evenimentului 562 (vezi ecranul 7). Windows 2000 generează un ID de mâner diferit pentru fiecare obiect deschis. Astfel, asociind un eveniment cu ID 560 și un eveniment cu ID 562 cu același ID Hand-le, este posibil să se determine cât timp a rămas deschis obiectul. Din snap-in Vizualizator de evenimente, deschideți evenimentul cu ID 560 și amintiți-vă ID-ul de gestionare al evenimentului. Apoi trebuie să faceți clic dreapta pe jurnalul de securitate și să selectați funcțiile Vizualizare, Găsire. Introduceți 562 în câmpul Event ID și valoarea Handle ID în câmpul Description. Dacă Vizualizatorul de evenimente afișează mai întâi obiecte noi, schimbați direcția de căutare în Sus și apoi faceți clic pe Găsiți următorul.

Nu numai fișiere

Categoria de clasă de obiecte Audit este folosită pentru mai mult decât pentru controlul accesului la fișiere. De exemplu, puteți utiliza programul regedt32 pentru a audita cheile de registry și apoi controlați accesul la cheile și intrările de registry. Intrările de registru nu au propriile lor DACL-uri și SACL-uri; ca și operațiunile de control al accesului, operațiunile de audit sunt efectuate printr-o cheie de registru părinte. Windows 2000 înregistrează tipurile de acces care se potrivesc cu permisiunile din DACL-ul cheii și descrie permisiunile specificate în ID-ul evenimentului 560. Dacă accesarea unei chei de registry declanșează ID-ul evenimentului 560, Windows 2000 setează câmpul Tip obiect la Cheie. Valoarea din câmpul Nume obiect începe cu REGISTRY urmată de ramură și restul căii chei. De exemplu, subcheia HKEY_LOCAL_MACHI-NESOFTWAREacme apare ca REGISTRYMACHINESOFT-WAREAcme.

Din meniul Setări, Imprimante, puteți accesa SACL-urile imprimantei și registry. Pentru a face acest lucru, este suficient să efectuați aceleași operațiuni ca atunci când accesați SACL-ul unui fișier sau folder, dar punctul de plecare nu va fi Windows Explorer, ci meniul Setări, Imprimante.

Articolul Microsoft „Monitorizare și auditare pentru sistemele finale” ( http://www.microsoft.com/technet/security/monito.asp) spune că este posibil să auditezi serviciile de sistem, dar în realitate nu este. Chiar dacă modul de audit este activat în SACL al unui serviciu (prin politicile de politică de grup prin ComputerConfiguration, Setări Windows, Setări de securitate, Servicii de sistem), Windows 2000 nu înregistrează informații despre pornirea, oprirea și oprirea serviciului în jurnalul de securitate. Identificatorii de evenimente sunt documentați pentru alte operațiuni (cum ar fi ștergerea unui obiect), dar acest mecanism nu este încă funcțional.

Moștenirea SACL

În Windows 2000, schema de moștenire SACL urmează schema DACL. În mod implicit, intrările SACL migrează automat din folderele părinte și cheile de registry la obiectele secundare. De exemplu, dacă activați auditarea scrierilor eșuate într-un folder, atunci toate fișierele și subfolderele moștenesc acest element SACL. Există mai multe niveluri de personalizare a moștenirii SACL.

nivelul copilului. Pentru a bloca transmiterea elementelor SACL părinte către un obiect copil, deschideți fereastra Setări de control al accesului a obiectului copil, navigați la fila Audit și debifați caseta de selectare Permiteți ca intrările de auditare moștenite de la părinte să se propagă la acest obiect. Apoi trebuie să faceți clic pe OK sau pe Aplicare. Dacă, până la ștergerea semnalizatorului, unele elemente SACL moștenite au fost deja transmise obiectului copil, Windows 2000 vă va cere să confirmați că acestea ar trebui eliminate sau că sunt făcute copii nemoștenite.

nivelul de părinte. Pentru a activa moștenirea în obiectele copil, deschideți caseta de dialog Setări de control al accesului a obiectului părinte, prezentată în Figura 8, accesați fila Audit și bifați caseta de selectare Resetare auditare pe toate obiectele copil și activați propagarea intrărilor de auditare moștenite. Când se face clic pe butonul OK sau Aplicare, sistemul de operare anulează auditarea tuturor obiectelor copil și debifează caseta de selectare, astfel încât administratorul să poată dezactiva în mod selectiv moștenirea obiectelor copil. Această caracteristică de resetare este utilă dacă administratorul nu știe ce mod de moștenire este setat pe sistem și dorește să o ia de la capăt.

De asemenea, puteți controla adâncimea moștenirii și puteți specifica ultimul copil căruia i se aplică fiecare element SACL. Pentru a edita o intrare SACL individuală, deschideți caseta de dialog Access Control Settings a obiectului părinte, accesați fila Audit, selectați elementul și deschideți fereastra Auditing Entry făcând clic pe butonul Vizualizare/Editare, așa cum arată Figura 9. Există două moduri pentru a implementa moștenirea în această casetă de dialog.obiecte copil. Lista derulantă Aplicare pe definește tipurile de obiecte la care este transmisă înregistrarea de audit. În mod implicit, acest folder, subfoldere și fișiere este selectat din listă, dar utilizatorul poate selecta orice combinație a acestor obiecte. (În Figura 9, modul de auditare pentru citirile eșuate este doar fișiere, nu foldere.) Puteți utiliza caseta de selectare Aplicați aceste intrări de audit la obiecte și/sau containere din acest container pentru a determina dacă Windows 2000 va transmite intrarea obiectelor localizate. direct în dosar sau propagați recursiv această intrare la toate nivelurile copil sub punctul dat.

Cum să auditezi cel mai bine

Ce strategie să selectați pentru auditul obiectelor? În primul rând, dacă doriți să verificați un anumit director sau cheie de registry pe mai multe mașini, trebuie să utilizați politici de grup. De exemplu, pentru a investiga încercările eșuate de scriere în directorul \%systemroot% de pe toate computerele dintr-un domeniu, deschideți snap-in-ul Active Directory Users and Computers MMC și faceți clic dreapta pe domeniul rădăcină. Apoi, selectând Proprietăți, trebuie să accesați fila Politică de grup. Cu obiectul de grup de politică de domeniu (GPO) implicit bifat, faceți clic pe butonul Editați și accesați Configurare computer, Setări Windows, Setări de securitate, Sistem de fișiere. Făcând clic dreapta pe Sistem de fișiere, trebuie să selectați Adăugare fișier. Apoi tastați de la tastatură

%systemroot%

și faceți clic pe OK. Pe ecran apare o casetă de dialog pentru permisiuni similară cu cea prezentată în Figura 1. Pentru a începe procesul de auditare a obiectelor, repetați secvența anterioară de pași. În același timp, trebuie să luați în considerare cu atenție definiția domeniului de aplicare a auditului. Nu este recomandat să limitați cercul de persoane verificate, deoarece hackerii folosesc adesea parolele altor persoane. Prin urmare, auditul ar trebui să specifice grupul Toți din lista de control pentru a acoperi toți utilizatorii. Cu toate acestea, este de dorit să se limiteze tipurile de acces și obiectele care pot fi auditate. În procesul de auditare a obiectelor, se generează o cantitate mare de date. Pentru a împiedica jurnalul de securitate să se umple cu informații inutile, cel mai bine este să vă concentrați pe un număr mic de tipuri de acces la câteva obiecte.

Pentru administratorii fără experiență, poate părea că nu există de fapt atât de multă activitate în sistem pe cât ar sugera evenimentele de acces la obiectul de auditare. Rețineți că Windows 2000 nu auditează operațiunile reale (cum ar fi citirea și scrierea) asupra obiectelor; în schimb, cererile de acces la obiecte care provin din aplicații sunt verificate. Prin urmare, în câmpul Accesuri al evenimentului ID 560, este indicat doar tipul de acces pe care utilizatorul l-ar putea primi, dar nu și faptul că utilizatorul a efectuat operațiuni. Problema este agravată de aplicațiile care solicită automat toate tipurile de acces, indiferent dacă utilizatorul are sau nu nevoie de ele. Oficialii Microsoft spun că, în cele din urmă, Windows 2000 poate implementa auditarea operațiunilor reale, mai degrabă decât accesibilitatea.

Cu ajutorul categoriei Audit acces obiect, puteți rezolva o serie de sarcini dificile: de exemplu, pentru a afla dacă au existat încercări de acces neautorizat la date și cine ar putea schimba un anumit fișier. În ciuda dificultăților de analiză a datelor de jurnal redundante, această categorie are un loc binemeritat în arsenalul administratorului.

Uneori au loc evenimente care ne impun să răspundem la o întrebare. "cine a făcut?" Acest lucru se poate întâmpla „rar, dar pe măsură”, așa că ar trebui să vă pregătiți din timp pentru a răspunde la întrebare.

Aproape peste tot, există departamente de proiectare, departamente de contabilitate, dezvoltatori și alte categorii de angajați care lucrează împreună pe grupuri de documente stocate într-un folder public (Partajat) pe un server de fișiere sau pe una dintre stațiile de lucru. Se poate întâmpla ca cineva să ștergă un document sau un director important din acest folder, în urma căruia munca întregii echipe se poate pierde. În acest caz, administratorul de sistem se confruntă cu mai multe întrebări:

Când și la ce oră a apărut problema?

Care este cea mai apropiată copie de rezervă din acel moment pentru a restaura datele?

Poate a existat o defecțiune a sistemului care s-ar putea întâmpla din nou?

Windows are un sistem audit, care vă permite să urmăriți și să înregistrați informații despre când, de către cine și cu ce documente de program au fost șterse. În mod implicit, Auditarea nu este activată - urmărirea în sine necesită un anumit procent din capacitatea sistemului și, dacă înregistrați totul la rând, încărcarea va deveni prea mare. Mai mult decât atât, nu toate acțiunile utilizatorilor pot fi de interes pentru noi, așa că politicile de audit ne permit să permitem urmărirea doar acelor evenimente care sunt cu adevărat importante pentru noi.

Sistemul de audit este integrat în toate sistemele de operare MicrosoftWindowsNT: Windows XP/Vista/7, Windows Server 2000/2003/2008. Din păcate, pe sistemele Windows Home, auditarea este profund ascunsă și prea dificil de configurat.

Ce trebuie configurat?

Pentru a activa auditarea, conectați-vă cu drepturi de administrator la un computer care oferă acces la documentele partajate și executați comanda start→Alerga→gpedit.msc. În secțiunea Configurare computer, extindeți folderul Setări Windows→ Setări de securitate→ Politici locale→ Politici de audit:

Faceți dublu clic pe o politică Auditează accesul la obiect (Auditul accesului la obiecte)și bifați caseta de selectare succes. Această setare activează mecanismul de urmărire a accesului cu succes la fișiere și la registru. Într-adevăr, ne interesează doar încercările reușite de a șterge fișiere sau foldere. Activați Auditarea numai pe computerele care stochează direct obiecte monitorizate.

Pur și simplu activarea politicii de audit nu este suficientă, trebuie să specificăm și ce foldere dorim să accesăm. De obicei, astfel de obiecte sunt foldere de documente comune (partajate) și foldere cu programe de producție sau baze de date (contabilitate, depozit etc.) - adică resurse cu care lucrează mai multe persoane.

Este imposibil să ghicim dinainte cine exact va șterge fișierul, așa că urmărirea este indicată pentru Toată lumea (Toată lumea). Încercările reușite de ștergere a obiectelor monitorizate de către orice utilizator vor fi înregistrate. Apelați proprietățile folderului necesar (dacă există mai multe astfel de foldere, atunci toate pe rând) și pe filă Securitate → Avansat → Audit adăugați urmărirea subiectului Toți (toți),încercările sale de acces reușite ȘtergeȘi Ștergeți subfolderele și fișierele:

O mulțime de evenimente pot fi înregistrate, așa că ar trebui să ajustați și dimensiunea jurnalului Securitate(Siguranță) la care vor fi scrise. Pentru
aceasta rulează comanda start→ Alerga→ eventvwr. msc. În fereastra care apare, apelați proprietățile jurnalului de securitate și specificați următorii parametri:

Dimensiunea maximă a jurnalului = 65536 KB(pentru posturi de lucru) sau 262144 KB(pentru servere)

Suprascrie evenimentele după cum este necesar.

De fapt, aceste cifre nu sunt garantate a fi exacte, dar sunt selectate empiric pentru fiecare caz specific.

Windows 2003/ XP)?

Clic start→ Alerga→ eventvwr.msc Securitate (Securitate). vedere→ filtru

• Sursa evenimentului:Security;
• Categorie: Acces obiect;
• Tipuri de evenimente: Audit de succes;
• ID eveniment: 560;

Examinați lista de evenimente filtrate, acordând atenție următoarelor câmpuri din fiecare intrare:

• ObiectNume. Numele folderului sau fișierului căutat;
• ImagineFişierNume. Numele programului care a șters fișierul;
• accese. Setul de drepturi solicitate.

Programul poate solicita mai multe tipuri de acces de la sistem simultan - de exemplu, Șterge+ Sincroniza sau Șterge+ citit_ Control. Corect pentru noi este Șterge.

Deci, cine a șters documentele (Windows 2008/ Vista)?

Clic start→ Alerga→ eventvwr.mscși deschideți jurnalul Securitate (Securitate). Jurnalul poate fi umplut cu evenimente care nu au legătură directă cu problema. Făcând clic dreapta pe jurnalul de securitate, selectați comanda vedere→ filtruși filtrați vizualizarea după următoarele criterii:

• Sursa evenimentului: Securitate;
• Categorie: Acces obiect;
• Tipuri de evenimente: Audit de succes;
• ID eveniment: 4663;

Nu vă grăbiți să interpretați toate ștergerile ca fiind rău intenționate. Această funcție este adesea folosită în timpul funcționării normale a programelor - de exemplu, executarea comenzii Salvați(Salva), pachete de programe Microsoftbirou Mai întâi, este creat un nou fișier temporar, documentul este salvat în el și apoi versiunea anterioară a fișierului este ștearsă. De asemenea, multe aplicații de bază de date creează mai întâi un fișier de blocare temporar la pornire. (. lck), apoi ștergeți-l la ieșirea din program.

În practică, a trebuit să mă ocup de acțiuni rău intenționate ale utilizatorilor. De exemplu, un angajat conflictual al unei anumite companii, la părăsirea locului de muncă, a decis să distrugă toate rezultatele muncii sale, ștergând fișierele și folderele de care era legat. Evenimentele de acest fel sunt clar vizibile - generează zeci, sute de intrări pe secundă în jurnalul de securitate. Desigur, recuperarea documentelor din UmbrăCopii(Copii în umbră) sau o arhivă zilnică creată automat nu este dificilă, dar în același timp aș putea răspunde la întrebările „Cine a făcut asta?” și „Când s-a întâmplat asta?”.