Политики аудита и использование аудита среды.

Политики аудита и использование аудита среды.

Аудит представляет собой способ сбора информации и мониторинга активности сети, устройств и целых систем. Некоторые виды аудита разрешены в Windows по умолчанию, но множество других функций аудита должно быть включено вручную. Это обеспечивает легкую настройку возможностей мониторинга системы.
Аудит обычно применяется для определения брешей в безопасности или подозрительных действий. Однако аудит также важен и для обретения понимания, как происходит доступ к сети, сетевым устройствам и системам. В отношении Windows аудит может применяться для мониторинга успешных и неудачных событий в системе. Политики аудита Windows уже должны быть включены до начала мониторинга активности.
Политики аудита являются основой аудита событий в системах Windows. В зависимости от установленных политик аудит может потребовать существенного объема ресурсов сервера, не считая тех ресурсов, которые нужны для функционирования сервера. В противном случае это потенциально снизит производительность сервера. Кроме того, сбор большого количества информации годится только в контексте оценки журналов аудита. Другими словами, если записывается большое количество информации и для оценки этих журналов аудита требуются значительные усилия, то основная цель аудита выбрана неэффективно. Поэтому важно затратить некоторое время на правильное планирование аудита системы. Тогда администратор сможет определить, для чего и зачем необходимо выполнять аудит, не создавая при этом больших дополнительных затрат.
Политики аудита могут отслеживать возникновение успешных и неудачных событий в среде Windows - то есть успешное или неудачное завершение событий. Ниже перечислены типы событий, для которых возможен такой мониторинг.
- Аудит входа в систему. В журнал могут заноситься входы через сеть или с помощью служб.
- Аудит доступа к объектам. Политика доступа к объектам записывает в журнал события при попытке доступа пользователя к какому-либо ресурсу (например, к принтеру или совместно используемой папке).
- Аудит доступа к службе каталогов. При каждой попытке доступа пользователя к объекту Active Directory, который имеет свой собственный системный список контроля доступа (System Access Control List - SACL), в журнале фиксируется соответствующее событие.
- Аудит изменения политики. При каждой попытке изменения политики (права пользователей, политики аудита учетных записей, политики доверительных отношений) записывается событие.
- Аудит использования привилегий. Привилегированное использование является параметром безопасности и может включать применение пользователем своих прав, изменение системного времени и тому подобное. В журнал могут записываться успешные или неудачные попытки.
- Аудит отслеживания процессов. Для каждой программы или процесса, запускаемого пользователем при доступе к системе, могут записываться события. Эта информация может быть очень подробной и требует значительного объема ресурсов.
- Аудит системных событий. Политика системных событий записывает в журнал указанные системные события, например, перезапуск или выключение компьютера.
- Аудит событий входа в систему. При каждой попытке входа пользователя может записываться успешное или неудачное событие. Неудачные попытки входа могут указывать на неудачи при входе для неизвестных пользовательских учетных записей, нарушения ограничения времени, просроченные учетные записи, недостаточные права для локального входа пользователя, просроченные пароли учетных записей и заблокированные учетные записи.
- Аудит управления учетными записями. При изменении учетных записей в журнал могут записываться события, доступные для последующего просмотра.
Политики аудита могут быть включены или отключены с помощью либо политики локальной системы, либо политики безопасности контроллера домена, либо объектов групповых политик. Политики аудита хранятся в специальной папке.