Занятие 2. Планирование и реализация аудита

(Продолжительность занятия 30 минут)

На этом занятии Вы узнаете о планировании аудита домена в сетях с низкими, средними и высокими требованиями к безопасности. Кроме того, мы расскажем о развертывании аудита и осуществлении аудита папок, файлов и принтеров.

• спланировать стратегию аудита и выбрать события, подлежащие регистрации;
• настроить аудит домена с помощью User Manager for Domains;
• настроить аудит папок и файлов с помощью Windows NT Explorer;
• настроить аудит принтеров с помощью команд меню окна Printers.

Планирование аудита

Настройка аудита позволяет выбрать типы событий, подлежащих регистрации, и их регистрируемые результаты — успех или отказ. Перед тем как развертывать аудит, необходимо принять решение относительно перечисленных ниже параметров аудита. Типы событий, которые должны регистрироваться в Вашей сети.

Чтобы отслеживать...	Включите аудит следующих событии
попытки несанкционированной регистрации	вход в систему и выход из нее
попытки несанкционированного использования ресурсов	использование ресурсов папки и файла
системные задачи, выполняемые пользователем	использование привилегий
изменения в учетных записях пользователей и групп	управление пользователями и группами
изменения привилегий пользователей или стратегии аудита	изменение политики безопасности
попытки манипулирования сервером	перезагрузка или выключение системы
программы, используемые пользователями	отслеживание процессов

Какой результат события должен регистрироваться: успех, отказ или оба.

Регистрация успехов поможет определить, насколько часто пользователи обращаются к определенным файлам или принтерам. Это, в частности, поможет в планировании использования ресурсов. Регистрация отказов будет сигнализировать о попытках нарушения защиты.

В сетях с минимальными требованиями к безопасности подвергайте аудиту:

• успешное использование ресурсов, лишь если эта информация Вам необходима для планирования;
• успешное использование важной и конфиденциальной информации, например данных платежных ведомостей.

В сетях со средними требованиями к безопасности подвергайте аудиту:

• успешное использование важных ресурсов;
• успешные и неудачные попытки изменений стратегии безопасности и административной политики;
• успешное использование важной и конфиденциальной информации. В сетях с высокими требованиями к безопасности подвергайте аудиту:
• успешные и неудачные попытки регистрации пользователей;
• успешное и неудачное использование любых ресурсов;
• успешные и неудачные попытки изменений стратегии безопасности и административной политики.

Реализация аудита

Аудит реализуют на том компьютере, события которого собираются отслеживать. Скажем, для аудита событий, происходящих на главном контроллере домена (например, попыток пользователей зарегистрироваться в сети или изменить учетные записи пользователей), необходимо реализовать аудит на главном контроллере домена.

Для отслеживания событий на любом другом компьютере домена (например, доступа к файлу на сервере) необходимо настроить аудит на этом компьютере.

События заносятся в локальный журнал безопасности компьютера, но пользователь, имеющий административные полномочия на этом компьютере, может просмотреть журнал с любого компьютера. Аудит производится в два этапа.

• Определение стратегии путем выбора событий, подлежащих аудиту, в программе User Manager for Domains. На компьютерах под управлением Windows NT Workstation или на серверах используйте программу User Manager (Диспетчер пользователей).
• Выбор файлов, папок и принтеров, для которых необходим аудит, а также пользователей и групп, действия которых Вы хотите отслеживать. Для установки аудита папок и файлов пользуйтесь программой Windows NT Explorer (Проводник); аудит принтеров устанавливается в окне Printers (Принтеры).

Выбор доменной стратегии аудита

Первый этап разработки стратегии аудита — выбор событий, подлежащих аудиту, в диалоговом окне Audit Policy (Политика аудита) программы User Manager for Domains (Диспетчер пользователей доменов). Это окно открывается командой Audit (Аудит) меню Policies (Политика).

В приведенной ниже таблице описаны типы событий, которые могут регистрироваться.

Тип событий	Что позволяет отслеживать
Logon and Logoff (Вход и выход)	Регистрацию пользователя в системе или выход из нее, а также установку и разрыв сетевого соединения
File and Object Access (Доступ к файлам и объектам)	Доступ пользователей к папкам, файлам и принтерам, подлежащих аудиту. Чтобы выполнять аудит файлов и принтеров, установите этот флажок
Use of User Rights (Применение привилегий)	Использование привилегий пользователей (за исключением привилегий, связанных с регистрацией в системе и выходом из нее)
User and Group Management (Управление пользователями и группами)	Создание, изменение (переименование, отключение, изменение пароля и т.д.) и удаление учетных записей пользователей и групп, а также изменения в ограничениях учетной записи (время работы и рабочие станции, на которых разрешена регистрация)
Security Policy Changes (Изменение политики безопасности)	Изменения в привилегиях пользователей, стратегии аудита и политике доверительных отношений
Restart, Shutdown and System (Перезагрузка, выключение и системные события)	Перезапуск или выключение компьютера пользователем, либо возникновение ситуации, влияющей на безопасность системы (например, когда журнал аудита переполняется и информация о событиях утрачивается)
Process Tracking (Отслеживание процессов)	События, которые вызывают запуск программ, например выбор программы в меню Start (Пуск) или щелчок ссылки на Web-странице, повлекший запуск программы установки

> Планирование аудита

Предположим, Вам как администратору Квебекского офиса компании «Разноимпорт» необходимо спланировать стратегию аудита для Вашего домена. Требования к безопасности сети Вашей компании несколько выше среднего уровня. Предварительно Вам надо решить, какие типы событий и их результатов следует регистрировать. Принимая решение, воспользуйтесь нашими рекомендациями:

• регистрируйте неудачные попытки войти в сеть;
• регистрируйте попытки несанкционированного доступа к базе данных, содержащей платежные ведомости и картотеку сотрудников;
• для контроля расходов отслеживайте все случаи использования цветных принтеров;
• регистрируйте любые попытки манипулирования сервером;
• ведите журнал действий, выполненных администратором, чтобы выявить несанкционированные изменения;
• отслеживайте выполнение процедур резервного копирования, чтобы предотвратить утечку данных;
• отслеживайте, какие пользователи играют в компьютерные игры.

  ответ

Запишите свои решения прямо на приведенном ниже рисунке.

> Развертывание аудита

В этом упражнении Вы реализуете аудит на основании плана, выработанного Вами в предыдущем упражнении.

1. Зарегистрируйтесь в системе по учетной записи Administrator.
2. В меню Start (Пуск) последовательно выберите пункты Programs (Программы), Administrative Tools (Администрирование) и щелкните пункт User Manager for Domains (Диспетчер пользователей доменов).
3. В меню Policies (Политика) выберите пункт Audit (Аудит). Появится диалоговое окно Audit Policy (Политика аудита).
4. Щелкните переключатель Audit These Events (Аудит событий).
5. На основании своего плана установите для требуемых событий соответствующие флажки — Success (Успех), Failure (Отказ) или оба.
6. Щелкните кнопку ОК.
7. Закройте User Manager for Domains.

Аудит файлов и папок

После того как стратегия аудита определена, остается выбрать папки и файлы, подлежащие аудиту, указать, какие события этих файлов и папок должны регистрироваться, а также пользователей и группы, действия которых с этими объектами должны отслеживаться. Чтобы вызвать диалоговое окно Directory Auditing (Аудит каталога) или File Auditing (Аудит файла), щелкните правой кнопкой мыши папку или файл в Windows NT Explorer (Проводник), выберите из появившегося меню пункт Properties (Свойства), щелкните вкладку Security (Безопасность), а затем — кнопку Auditing (Аудит).

В приведенной ниже таблице описаны параметры аудита папок. При настройке аудита файлов эти параметры не появляются на экране.

Действие	Его описание
Установка флажка Replace Auditing on Subdirectories (Изменить режим аудита для вложенных папок)	Изменения параметров аудита распространятся на все папки, вложенные в данную. По умолчанию изменение параметров аудита сказывается только на выбранной папке и содержащихся в ней файлах
Сброс флажка Replace Auditing on Existing Files (Изменить режим аудита для существующих файлов)	Изменения параметров аудита распространятся только на папку. По умолчанию этот флажок установлен. Сброс флажка означает неизменность параметров аудита файлов данной папки

В следующей таблице описаны события, аудит которых возможен и для папок, и для файлов.

 

Событие	Что позволяет отслеживать
Read (Чтение)	Открытие и копирование файла; просмотр его атрибутов, прав доступа или владельца; просмотр содержимого, атрибутов, прав доступа или владельца папки. Включайте аудит чтения для всей важной информации
Write (Запись)	Изменение содержимого или атрибутов файла; просмотр прав доступа к нему; создание или копирование файла; создание папки, изменение ее атрибутов, просмотр прав доступа к ней или сведений о ее владельце. Включайте аудит записи для всей важной информации
Execute (Выполнение)	Просмотр атрибутов файла, прав доступа к нему или имени его владельца, а также запуск программы; изменение папки, просмотр ее атрибутов, прав доступа или имени владельца. Включайте аудит выполнения в сетях с высокими требованиями к безопасности
Delete (Удаление)	Удаление папок и файлов, копирование файлов. Включайте аудит удаления для всех важных данных в сетях со средними и высокими требованиями к безопасности
Change Permissions (Смена разрешений)	Изменение прав доступа к файлам или папкам. Включайте аудит смены разрешений в сетях со средними и высокими требованиями к безопасности
Take Ownership (Смена владельца)	Смену владельца файлов или папок. Включайте аудит смены владельца в сетях со средними и высокими требованиями к безопасности

Аудит группы Everyone

Группа Everyone (Все) очень полезна при аудите. В эту группу входят все локальные и удаленные пользователи, включая и тех, кто зарегистрирован по учетной записи Guest (Гость). Выполняя аудит группы Everyone (Все), Вы можете отслеживать использование ресурса всеми, кто может к нему подключиться, а не только теми, для кого Вы создали учетные записи в домене.

> Аудит файла

В этом упражнении Вы включите режим аудита удаления, изменения прав доступа и смены владельца файла Bronte.txt членами группы Everyone (Все).

1. Запустите программу Windows NT Explorer (Проводник) и откройте папку LabFiles\Public\Library.
2. Щелкните правой кнопкой мыши файл Bronte.txt и в появившемся меню выберите пункт Properties (Свойства).

   Появится диалоговое окно Bronte Properties (Свойства: Bronte).

3. Щелкните вкладку Security (Безопасность).

   ---

   Примечание Аудит возможен только для разделов NTFS. Если в этом диалоговом окне нет вкладки Security (Безопасность), значит, выбранный файл расположен на томе другого типа.

   ---

4. Щелкните кнопку Auditing (Аудит).

   Появится диалоговое окно File Auditing (Аудит: файл).

5. Щелкните кнопку Add (Добавить).

   Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).

6. В списке Names (Имена) щелкните строку Everyone (Все), а затем — кнопку Add (Добавить).
7. Щелкните кнопку ОК.

   Группа Everyone (Все) появится в области Name (Имя) диалогового окна File Auditing (Аудит файла).

   ---

   Примечание. Для группы или пользователя можно легко отменить аудит, выбрав нужное имя в списке и щелкнув кнопку Remove (Удалить).

   ---

8. В группе Events to Audit (Аудит событий) установите флажки Success (Успех) для следующих событий:
   • Delete (Удаление);
   • Change Permissions (Смена прав);
   • Take Ownership (Смена владельца).
9. Щелкните кнопку ОК, чтобы реализовать изменения. После этого Вы вернетесь в диалоговое окно Bronte Properties (Свойства: Bronte).
10. Щелкните кнопку ОК, чтобы вернуться в Windows NT Explorer.
11. Закройте Windows NT Explorer.

Аудит принтера

Аудит принтера аналогичен аудиту папок и файлов. Сначала Вы выбираете стратегию аудита, а затем указываете, какие связанные с принтером события нужно регистрировать, а также группы и пользователей, действия которых над принтером Вы хотите отслеживать. Чтобы вызвать диалоговое окно Printer Auditing (Аудит принтера), дважды щелкните принтер в окне Printers (Принтеры), выберите пункт Properties (Свойства) из меню Printer (Принтер), щелкните вкладку Security (Безопасность) и затем — кнопку Auditing (Аудит).

В приведенной ниже таблице перечислены относящиеся к принтеру события, аудит которых возможен.

Событие	Что позволяет отслеживать
Print (Печать)	Использование принтера. Это полезно для оценки затрат на печать каждого подразделения в отдельности
Full Control (Полный доступ)	Изменение параметров задания на печать; приостановку, перезапуск, перемещение и удаление документов; предоставление принтера в совместное использование; изменение свойств принтера. Это полезно в сетях с высокими требованиями к безопасности
Delete (Удаление)	Удаление заданий на печать. Это полезно в сетях с высокими требованиями к безопасности
Change Permissions (Смена разрешений)	Изменения в правах доступа к принтеру. Это полезно в сетях со средними и высокими требованиями к безопасности
Take Ownership (Смена владельца)	Смену владельца принтера. Это полезно в сетях со средними и высокими требованиями к безопасности

> Аудит принтера

В этом упражнении Вы включите режим аудита успешной печати документов, изменения прав доступа и смены владельца принтера членами группы Everyone (Все).

1. В меню Start (Пуск) выберите пункт Settings (Настройка), а в появившемся меню щелкните пункт Printers (Принтеры).
2. В окне Printers (Принтеры) дважды щелкните значок любого принтера.
3. В меню Printer (Принтер) выберите пункт Properties (Свойства).

   Появится диалоговое окно имя_принтера Properties (Свойства имя_принтера).

4. Щелкните вкладку Security (Безопасность), а затем — кнопку Auditing (Аудит). Появится диалоговое окно Printer Auditing (Аудит принтера).
5. Щелкните кнопку Add (Добавить).

   Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).

6. В списке Names (Имена) щелкните пункт Everyone (Все), а затем — кнопку Add (Добавить).
7. Щелкните кнопку ОК.

   Группа Everyone (Все) появится в области Name (Имя) диалогового окна Printer Auditing (Аудит принтера).

8. В группе Events to Audit (Аудит событий) установите флажки Success (Успех) для следующих событий:
   • Print (Печать)
   • Change Permissions (Смена разрешений)
   • Take Ownership (Смена владельца)
9. Щелкните кнопку ОК, чтобы реализовать изменения.
10. Щелкните кнопку ОК, чтобы закрыть диалоговое окно имя_принтера Properties.
11. Закройте окно имя_принтера.
12. Закройте окно Printers (Принтеры).
13. Выйдите из системы.

> Аудит принтера

В этом упражнении Вы включите режим аудита успешной печати документов, изменения прав доступа и смены владельца принтера членами группы Everyone (Все).

1. В меню Start (Пуск) выберите пункт Settings (Настройка), а в появившемся меню щелкните пункт Printers (Принтеры).
2. В окне Printers (Принтеры) дважды щелкните значок любого принтера.
3. В меню Printer (Принтер) выберите пункт Properties (Свойства).

   Появится диалоговое окно имя__принтера Properties (Свойства имя_принтера).

4. Щелкните вкладку Security (Безопасность), а затем — кнопку Auditing (Аудит). Появится диалоговое окно Printer Auditing (Аудит принтера).
5. Щелкните кнопку Add (Добавить).

   Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).

6. В списке Names (Имена) щелкните пункт Everyone (Все), а затем — кнопку Add (Добавить).
7. Щелкните кнопку ОК.

   Группа Everyone (Все) появится в области Name (Имя) диалогового окна Printer Auditing (Аудит принтера).

8. В группе Events to Audit (Аудит событий) установите флажки Success (Успех) для следующих событий:
   • Print (Печать)
   • Change Permissions (Смена разрешений)
   • Take Ownership (Смена владельца)
9. Щелкните кнопку ОК, чтобы реализовать изменения.
10. Щелкните кнопку ОК, чтобы закрыть диалоговое окно имя_принтера Properties.
11. Закройте окно имя_приитера.
12. Закройте окно Printers (Принтеры).
13. Выйдите из системы.

Резюме

• Планируя стратегию аудита, Вы должны решить, какие ресурсы должны отслеживаться и какие действия над ними — регистрироваться.
• Аудит реализуют на том компьютере, события которого хотят отслеживать. Аудит на главном контроллере домена позволяет отслеживать события, происходящие на всех контроллерах домена. Аудит на компьютере, работающем под управлением Windows NT Workstation, или на сервере позволяет отслеживать только события, которые происходят на этом компьютере. Чтобы установить режим аудита, сначала выработайте стратегию аудита для домена или компьютера, укажите события, связанные с папками, файлами и принтерами, которые нужно регистрировать, а затем перечислите пользователей и группы, действия которых над выбранными объектами нужно отслеживать.
• Включите аудит группы Everyone, чтобы отслеживать использование ресурсов всеми пользователями, которые могут подключиться к ним, а не только членами домена.

Дополнительную информацию о...	Вы найдете в...
процедурах аудита файлов и папок	справочной системе Windows NT
процедуре изменения параметров принтера	справочной системе Windows NT
установке аудита	главе 9, «Monitoring Events», документа Microsoft Windows NT Server Concepts and Planning
аудите доступа к файлам и папкам	главе 37, «Windows NT Workstation Troubleshooting», комплекта документации Microsoft Windows NT Workstation Resource Kit
группе Everyone	главе 3, «Создание учетных записей групп», настоящего курса; главе 2, «Working With User and Group Accounts», документа Microsoft Windows NT Server Concepts and Planning