Параметры аудита объектов
Каждый объект имеет набор свойств безопасности, или дескриптор безопасности, присоединенный к нему. В одной части дескриптора безопасности перечислены пользователи и группы, имеющие доступ к объекту, а также типы доступа (разрешения), назначенные этим пользователям или группам. Эта часть дескриптора безопасности называется избирательной таблицей управления доступом (DACL) (Список — часть дескриптора безопасности объекта, — предоставляющий или отменяющий разрешения для конкретных пользователей и групп. Аббревиатура DACL образована от Discretionary Access Control List).
Кроме сведений о разрешениях дескриптор безопасности объекта также содержит сведения аудита. Эти данные аудита называются системной таблицей управления доступом (SACL) (Список — часть дескриптора безопасности объекта, — определяющий события, проверяемые для пользователя или группы. Примерами таких событий являются: доступ к файлам, вход в систему, выключение системы. Аббревиатура SACL образована от System Access Control List). В таблице SACL указываются следующие сведения.
Учетные записи группы или пользователя для аудита при осуществлении доступа к объекту.
События доступа для аудита каждой группы или пользователя. Примером события доступа является изменение файла.
Атрибуты «Успех» или «Отказ» для каждого события доступа на основе разрешений каждой группы или пользователя в таблице DACL объекта.
Типы доступа, аудит которых можно выполнить, в основном зависят от того, проводится аудит доступа к файлам и папкам или к объектам Active Directory.
Файлы и папки
Имеется возможность аудита доступа к файлам или папкам, находящимся на дисках с файловой системой NTFS. При этом появляется возможность наблюдать за тем, кто из пользователей осуществлял различные операции с файлами и папками.
После разрешения аудита файлов или папок в журнал безопасности окна просмотра событий заносятся записи при каждой попытке выполнить над этими ресурсами действия определенного типа. Можно указать, за какими файлами и папками следует наблюдать, чьи действия отслеживать, а также конкретные типы этих действий.
Аудит файлов и папок разрешается с помощью групповой политики. Затем с помощью проводника выбираются конкретные файлы, а также типы событий доступа для аудита.
В журнал безопасности могут заноситься сведения как об успешных, так и о неудачных попытках выполнения следующих действий над файлами и папками.
Действия с папками | Действия с файлами |
Просмотр имен файлов в папке | Просмотр содержимого файла |
Просмотр атрибутов папки | Просмотр атрибутов файла |
Изменение атрибутов папки | Просмотр разрешений и имени владельца |
Создание подкаталогов и файлов | Изменение файла |
Переход в подкаталоги | Изменение атрибутов файла |
Отображение владельца и разрешений папки | Выполнение (если файл является программным модулем) |
Удаление папки | Удаление файла |
Смена разрешений для папки. | Смена разрешений для файла |
Смена владельца папки | Смена владельца файла |
Аудит можно применять как прямо к объектам, так и к любым дочерним объектам с помощью наследования. Например, если выполняется аудит отказов попыток записи в папку, это событие аудита будет наследоваться всеми файлами в этой папке.
Объекты Active Directory
Во время аудита объектов Active Directory можно также выполнить аудит следующих действий:
чтения/записи всех свойств;
чтения/записи отдельных свойств.
Для аудита файлов и папок необходимо войти в систему с учетной записью члена группы «Администраторы».
Дата добавления: 2015-03-26; просмотров: 608;