Параметры аудита объектов

Каждый объект имеет набор свойств безопасности, или дескриптор безопасности, присоединенный к нему. В одной части дескриптора безопасности перечислены пользователи и группы, имеющие доступ к объекту, а также типы доступа (разрешения), назначенные этим пользователям или группам. Эта часть дескриптора безопасности называется избирательной таблицей управления доступом (DACL) (Список — часть дескриптора безопасности объекта, — предоставляющий или отменяющий разрешения для конкретных пользователей и групп. Аббревиатура DACL образована от Discretionary Access Control List).

Кроме сведений о разрешениях дескриптор безопасности объекта также содержит сведения аудита. Эти данные аудита называются системной таблицей управления доступом (SACL) (Список — часть дескриптора безопасности объекта, — определяющий события, проверяемые для пользователя или группы. Примерами таких событий являются: доступ к файлам, вход в систему, выключение системы. Аббревиатура SACL образована от System Access Control List). В таблице SACL указываются следующие сведения.

Учетные записи группы или пользователя для аудита при осуществлении доступа к объекту.

События доступа для аудита каждой группы или пользователя. Примером события доступа является изменение файла.

Атрибуты «Успех» или «Отказ» для каждого события доступа на основе разрешений каждой группы или пользователя в таблице DACL объекта.

Типы доступа, аудит которых можно выполнить, в основном зависят от того, проводится аудит доступа к файлам и папкам или к объектам Active Directory.

Файлы и папки

Имеется возможность аудита доступа к файлам или папкам, находящимся на дисках с файловой системой NTFS. При этом появляется возможность наблюдать за тем, кто из пользователей осуществлял различные операции с файлами и папками.

После разрешения аудита файлов или папок в журнал безопасности окна просмотра событий заносятся записи при каждой попытке выполнить над этими ресурсами действия определенного типа. Можно указать, за какими файлами и папками следует наблюдать, чьи действия отслеживать, а также конкретные типы этих действий.

Аудит файлов и папок разрешается с помощью групповой политики. Затем с помощью проводника выбираются конкретные файлы, а также типы событий доступа для аудита.

В журнал безопасности могут заноситься сведения как об успешных, так и о неудачных попытках выполнения следующих действий над файлами и папками.

 

Действия с папками Действия с файлами
Просмотр имен файлов в папке Просмотр содержимого файла
Просмотр атрибутов папки Просмотр атрибутов файла
Изменение атрибутов папки Просмотр разрешений и имени владельца
Создание подкаталогов и файлов Изменение файла
Переход в подкаталоги Изменение атрибутов файла
Отображение владельца и разрешений папки Выполнение (если файл является программным модулем)
Удаление папки Удаление файла
Смена разрешений для папки. Смена разрешений для файла
Смена владельца папки Смена владельца файла

 

Аудит можно применять как прямо к объектам, так и к любым дочерним объектам с помощью наследования. Например, если выполняется аудит отказов попыток записи в папку, это событие аудита будет наследоваться всеми файлами в этой папке.

Объекты Active Directory

Во время аудита объектов Active Directory можно также выполнить аудит следующих действий:

чтения/записи всех свойств;

чтения/записи отдельных свойств.

Для аудита файлов и папок необходимо войти в систему с учетной записью члена группы «Администраторы».

 








Дата добавления: 2015-03-26; просмотров: 608;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.004 сек.