Аудит доступа к файлам и папкам

Если требуется выявить слабые места в защите корпоративной сети, можно установить аудит файлов и папок, расположенных на разделах NTFS. Для аудита доступа пользователей к файлам и папкам прежде всего следует настроить политику аудита на регистрацию доступа к объектам, в том числе файлов и папок. При настройке политики аудита на регистрацию доступа к объектам включается аудит конкретных файлов и папок.

При этом также указывается, какие виды доступа, пользователи и группы подлежат аудиту.
В таблице 4.2 перечислены действия пользователей, вызывающие соответствующие события, что поможет определить, в каких случаях следует включать аудит этих событий.

События для файлов и папок, вызываемые действиями пользователей.

Таблица 4.2

Событие Действие пользователя, вызвавшее событие
Переход в папку/Выполнение файла (Traverse Folder/Execute File) Запуск программы или получение доступа к папке при смене текущей папки
Получение списка файлов/Чтение данных (List Folder/Read Data) Просмотр содержимого файла или папки
Чтение атрибутов (Read Attributes) Просмотр атрибутов файла или папки
Чтение расширенных атрибутов (Read Extended Attributes) Просмотр атрибутов файла или папки
Создание файлов/Запись данных (Create Files/Write Data) Изменение содержимого файла или создание новых файлов в папке
Создание папок/Добавление данных (Create Folders/Append Data) Создание папок внутри папок
Запись атрибутов (Write Attributes) Изменение атрибутов файла или папки
Запись расширенных атрибутов (Write Extended Attributes) Изменение атрибутов файла или папки
Удаление вложенных папок и файлов (Delete Subfolders And Files) Удаление файла или папки внутри папки
Удаление (Delete) Удаление файла или папки
Чтение разрешений (Read Permissions) Просмотр прав владельца файла на файл или папку
Смена разрешений (Change Permissions) Изменение прав доступа к файлу или папке
Смена владельца (Take Ownership) Изменить право владельца на файл или папку

Аудит доступа к принтерам

При необходимости отслеживать использование конкретных принтеров включите аудит доступа к принтерам. Чтобы включить аудит доступа к принтерам, в политике аудита настройте аудит доступа к объектам, что включает принтеры.
Включите аудит конкретных принтеров и укажите, какие виды .доступа регистрировать и какие пользователи будут иметь доступ. Для выбранного принтера аудит включается в той же последовательности, что и при установке параметров аудита файлов и папок.
В таблице 4.3 перечислены события, аудит которых возможен для принтеров, и соответствующие этим событиям действия пользователей.

События для принтеров, вызываемые действиями пользователей. Таблица 4.3

Событие Действие пользователя, вызвавшее событие
Печать (Print) Печать файла
Управление принтерами (Manage Printers) Изменение параметров принтера, приостановка печати, разрешение совместного использования принтера, удаление принтера из системы
Управление документами (Manage Documents) Изменение параметров заданий; приостановка или продолжение печати, изменение порядкового номера в очереди или удаление документов; разрешение совместного использования принтера; изменение параметров принтера
Чтение разрешений (Read Permissions) Просмотр прав доступа к принтеру
Смена разрешений (Change Permissions) Изменение прав доступа к принтеру
Смена владельца (Take Ownership) Смена владельца принтера

2.2.Изучите возможности управления журналом безопасности

Использование утилиты Просмотр событий (Event Viewer)
Утилита Просмотр событий (Event Viewer) применяется для решения различных задач администрирования, в том числе для просмотра журналов аудита, созданных в результате установки политики аудита и обновляемых при возникновении заданных событий. Утилиту Просмотр событий (Event Viewer) также используют для просмотра содержимого файлов журнала безопасности и поиска конкретных событий в файлах журнала.
Утилита Просмотр событий (Event Viewer) необходима для просмотра информации, содержащейся в журналах (logs) Windows XP Professional. По умолчанию эта утилита позволяет просматривать три журнала (таблица 4.4).

Журналы Windows XP Professional.

Таблица 4.4

Журнал Описание
Журнал приложений Хранит сообщения об ошибках, предупреждения или информацию, генерируемые приложениями, например СУБД или программой электронной почты. События, регистрируемые в журнале, задаются разработчиками соответствующих программ
Журнал безопасности Содержит информацию об успешных или неудачных попытках выполнения операций, аудит которых включен. Эти события регистрируются Windows XP Professional в соответствии с политикой аудита
Системный журнал Хранит сообщения об ошибках, предупреждения и данные, генерируемые Windows XP Professional. События, регистрируемые в журнале, задаются в Windows XP Professional

Примечание Если установлены дополнительные службы, могут быть добавлены и соответствующие журналы событий.

Рандомно подобранные статьи с сайта:

Получить полный доступ к файлам и папкам в Windows


Похожие статьи:

admin