Курсы повышения квалификации «Администрирование системы» Аудит. Просмотр событий, работа с журналами. Ограничение доступа к съёмным носителям Включение функции аудита входа в систему Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из нее. Для реализации политики аудита необходимо добавить в консоль оснастку Групповая политика. Сначала необходимо запустить консоль управления. Для этого выберите пункт Выполнить из меню Пуск и введите команду mmc. В меню Консоль выберите пункт Добавить или удалить оснастку и в открывшемся окне нажмите кнопку Добавить В списке доступных изолированных оснасток выберите оснастку Групповая политика и нажмите кнопку Добавить. Запускается мастер групповой политики, который добавит данную оснастку в консоль. Убедитесь, что в окне Выбор объекта групповой политики в поле Объект групповой политики установлен параметр Локальный компьютер и нажмите кнопку Готово. Закройте окно Добавить изолированную оснастку, нажав кнопку Закрыть. В окне Добавить/удалить оснастку добавился элемент Политика "Локальный компьютер", который для локального компьютера означает то же самое, что и Групповая политика. Нажмите кнопку OK для того, чтобы закрыть данное окно. Откройте меню Политика аудита, находящееся в ветви Политика "локальный компьютер" -> Конфигурация компьютера > ... В правой части окна выберите Аудит входа в систему и в меню Действие выберите пункт Свойства (или щелкните правой кнопкой мышки и выберите Свойства). Откроется окно свойств аудита входа в систему. Вы можете установить аудит, чтобы отслеживать все удачные и/или неудачные попытки входа в систему и выхода из нее. Если установить флажок Успех, то включится аудит успешных попыток, а в журнал будут заноситься записи о каждом пользователе, прошедшем проверку. Установка флажка Отказ, включит аудит неудачных попыток, а соответствующие записи будут отражаться в журнале. Можно включить оба флажка одновременно. Нажмите кнопку OK для завершения настройки. Все настройки политики аудита вступят в силу только после перезагрузки компьютера. Просмотр событий Одно из самых часто используемых и наиболее важных средств мониторинга системы — это регистрация различных событий в журналах операционной системы Windows. Регистрацию событий в системе Windows осуществляет служба «Журнал событий» (Event Log). В любой системе семейства Windows всегда присутствуют 3 журнала: Журнал "Система" (System) — события, записанные в журнал компонентами операционной системы (например, сбой в запуске службы при перезагрузке); расположение журнала по умолчанию — в папке "%SystemRoot%\system32\config\SysEvent.Evt " Журнал «Безопасность» (Security) — регистрация событий, относящихся к системе безопасности (например, попытки регистрации пользователей, изменения в политиках безопасности, попытки доступа к различным ресурсам); набор событий, регистрируемых в журнале «Безопасность », настраивается локальной или групповых политик (об управлении аудитом событий безопасности — в следующем подразделе); расположение по умолчанию — «%SystemRoot%\system 32\сопfig\SecEvent.Evt » Журнал «Приложение» (Application) — события, порожденные различными приложениями (например, сбой MS SQL при доступе к базе данных); набор событий, регистрируемых в журнале «Приложения », определяется разработчиками приложений; расположение по умолчанию — "%SystemRoot%\system32\config\AppEvent.Evt " При установке в системе каких-либо компонентов могут появиться журналы, регистрирующие события, относящиеся к работе данных компонентов. Работа с журналами Открыть системные журналы можно следующими способами: • открыть консоль «Управление компьютером » и в разделе «Служебные программы » открыть оснастку «Просмотр событий »; • открыть отдельную консоль «Просмотр событий » в разделе «Администрирование »Главного меню системы Windows. В левой части консоли будет список имеющихся на данном компьютере журналов, в правой части — список событий для выбранного журнала. В большинстве журналов события бывают трех видов: Уведомление — информация о событии, связанным с успешным действием; Предупреждение — информация о событиях, которые в будущем могут вызвать проблемы в работе системы; Ошибка — сообщение об ошибке. В журнале «Безопасность» — 2 типа событий: Аудит успехов — событие, связанное с успешным выполнением действия, связанного с системой безопасности; Аудит отказов — событие, связанное со сбоем в выполнении действия, связанного с системой безопасности. Если открыть какое-либо событие, то можно получить более детальную информацию о нем. Описание — текстовое описание события; Данные — любые данные, сгенерированные событием, или связанный с ним код ошибки. Настройка параметров журналов событий Размер и способ ведения журналов событий можно настраивать. Для настройки параметров надо щелкнуть правой кнопкой на нужном журнале событий и выбрать в контекстном меню команду Свойства. Откроется диалоговое окно: Кроме закладки «Общие», имеется также закладка «Фильтр », позволяющая установить правила для отбора событий. Можно установить правила отбора: • • • • • • • по типу событий; по источнику; по категории; по известному коду события; по имени пользователя; по имени компьютера; задать период времени — с какого по какой момент времени отобрать события. Например, фильтр, отбирающий события с кодом 6005 с 00 ч 00 мин 20.02.2007 до 12 ч 00 мин 01.03.2007. Результат применения фильтра (с помощью данного фильтра были отобраны события, регистрирующие процесс запуска системной службы «Журнал событий» ). Вернуться к полному просмотру всех событий можно, выбрав в меню «Вид » команду «Все записи» Ограничение использования съёмных носителей В некоторых компьютерах, находящихся в общественных места вы не сможете использовать съемные устройства хранения данных, такие как USB-флешки в целях безопасности. Это руководство покажет вам, как запретить доступ к съемным запоминающим устройствам в Windows Система запретит доступ ко всем съемным запоминающим устройствам, если Вы включите эту политику. Чтобы управлять отдельными устройствами, пожалуйста, используйте параметры политики для каждого устройства. Перейдите в раздел «Конфигурация пользователя -> Административные шаблоны -> Система -> Доступ к съёмным запоминающим устройствам» Дважды щелкните по пункту «Съёмные запоминающие устройства всех классов» справа, измените статус на «Включить». Нажмите кнопку «ОК», чтобы подтвердить изменение конфигурации. Для восстановления конфигурации, пожалуйста, установите соответствующий статус политики «Не задано» или «Отключить».