Категории событий, регистрируемых системой

Безопасности.

 

Аудит входа в систему (Audit loon events)

Событие успешной регистрации пользователя в системе имеет номер (ID) 4624. Событие с номером 4634 означает завершение сеанса, начало которого зафиксировано событием 4624.

Событие номер 4624 имеет несколько очень важных дополнительных параметров. Имя пользователя и домен определяют вошедшего в систему пользователя или то, чья учетная запись была при этом задействована.

Любому активному сеансу работы пользователя с системой присваивается уникальный код входа. Именно он будет записан в событии завершения сеанса, что позволяет определить общее время работы пользователя при анализе событий 4634 и 4624 с одинаковым кодом входа. В случае нескольких одновременных сессий одного пользователя (например, когда вошедший интерактивно пользователь подключился к своему компьютеру еще и через сервер SMB) данный идентификатор позволяет однозначно определить, в рамках какой сессии совершено то или иное событие.

Тип входа показывает, как пользователь вошел в систему:

- 2 - интерактивный вход с консоли, например, с помощью монитора и клавиатуры;

- 3 - сетевой вход, пользователь подключился по сети, к диску этого ПК или как-либо еще использует сетевой ресурс;

- 4- заданию на выполнение командного файла при использовании планировщика задач независимых компаний;

- 5 - фиксируется при запуске службы с указанием конкретной учетной записи пользователя;

- 7- разблокирование рабочей станции;

- 8 –сетевая регистрация незашифрованным паролем;

- 9 –ролевая (impersonated) регистрация.

 

Аудит доступа к объектам

 

На дисках, отформатированных с файловой системой NTFS, можно проводить аудит доступа к отдельным файлам и папкам. Это позволяет отследить выполняемые действия, и идентифицировать пользователей, ответственных за эти действия.

Включение аудита доступа к объектам в политике аудита не приводит (в отличие от других категорий аудита) к автоматической регистрации событий, связанных с доступом к объектам. Администратору требуется сформировать SACL у объектов, к которым планируется осуществить аудит доступа.

ACL (Access Control List) – список контроля доступа, применяются администраторами для управления группами (добавления и удаления пользователей и разрешений).

В Windows имеется два вида ACL.

· Discretionary access control lists (DACL) - списки разграничительного контроля доступа. Используются для идентификации пользователей и групп, которым разрешен (или запрещен) доступ.

· System access control lists (SACL) - системные списки контроля доступа, контролируют проверку доступа.

Списки контроля доступа являются удобным инструментом определения того, кто имеет доступ к конкретному объекту, и предоставляют возможность редактировать разрешения. Например, если вы считаете, что новый лазерный принтер не должен использоваться никем, кроме работников отделения маркетинга, то для приведения в действие этих ограничений можно использовать ACL.

В свойствах файла или папки необходимо выбрать вкладку «Безопасность», нажать кнопку «Дополнительно» и выбрать лист «Аудит».

Для настройки аудита для нового пользователя или группы нажмите кнопку «Добавить». Выберите имя нужного пользователя или группы. В окне «Элемент аудита» можно указать необходимые параметры аудита. В поле «Применить» укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В группе «Доступ» укажите, какие события следует отслеживать: окончившиеся успехом или отказом или оба типа событий. Флажок «Применить этот аудит к объектам и контейнерам только в пределах данного контейнера» определяет, распространяются ли введенные вами настройки аудита на файлы и папки вниз по дереву каталогов файловой системы.

Для отключения аудита файла или папки в окне «Дополнительные параметры безопасности» выберите нужную запись и нажмите кнопку «Удалить». Если она недоступна, то настройки аудита наследуются от родительской папки. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку «Изменить».

Имеются взаимодополняющих друг друга событий - событие «Открытие объекта (4662)» фиксирует открытие объекта, а событие «Закрытие дескриптора» (562) - его закрытие.

 

⇐ Предыдущая12345Следующая ⇒

Поделиться: