Внедрение и настройка аудита

Настройка и администрирование аудита требует выполнения следующих условий:

─ Необходимо иметь разрешение Manage Auditing And Security Log (Управление аудитом и журналом безопасности) для компьютера, на котором устанавливается политика аудита. По умолчанию Windows такие права присваивает группе Administrators (Администраторы).

─ Файлы и папки должны находиться на дисках NTFS (NT file system).

Для настройки политики аудита на компьютере необходимо создать консоль ММС и добавить к ней оснастку Group Policy (Групповая политика). В дереве консоли выбрать папку Audit Policy (Политика аудита) из узла Computer Configuration (Конфигурация компьютера). Консоль покажет текущие параметры политики аудита на правой панели.

Изменения, сделанные в политике аудита компьютера, вступят в силу, когда произойдет одно из следующих событий:

─ Будет инициализировано применение политики путем набора в командной строке secedit/Refresh Policy machine_policyи нажатием клавиши Enter;

─ Компьютер будет перезагружен. Windows применяет изменения, внесенные в политику аудита после перезагрузки компьютера;

─ Произойдет обновление политики – применение параметров политики, включая политики аудита к компьютеру. Автоматическое обновление политики происходит через равномерные настраиваемые интервалы, по умолчанию – каждые 8 часов.