2015-01-21
515
Вначале надо проверить, включен ли в политике безопасности аудит доступа к объектам. Для регистрации событий, связанных с доступом к тому или иному разделу реестра, в частности HKEY_LOCAL MACHINE\SECURITY и \SAM, надо внести соответствующие записи в SACL к нужному разделу. Для этого в листе «Дополнительные параметры безопасности» (рис. 2.5) выбрать лист «Аудит» и нажать кнопку «оббавить» или «Изменить» и в окне элемент аудита произвести настройку записи аудита (ACE) (рис. 2.6).
Для указанных разделов рекомендуется установить аудит на успешное или неуспешное выполнение таких действий, как «Запрос значения (Query Value)», «Задание значения (Set Value)», «Запись DAC (Write DAC)» и «Чтение разрешений (Read Control)» для всех пользователей, обладающих административными полномочиями в системе. Можно это сделать и для группы Все (Everyone), но тогда количество записей аудита в журнале безопасности будет больше. Чтобы отслеживать только изменения, можно не следить за событиями типов «Запрос значения (Query Value)» и «Чтение разрешений (Read Control)».
|
|
|
Рис. 2.6. Аудит для отмеченного раздела реестра
В качестве стартового раздела при выполнении этой операции лучше выбрать SECURITY, поскольку он, кроме всего прочего, включает символическую ссылку на раздел SAM. Таким образом, администратор может проставить нужные параметры аудита для двух указанных разделов одновременно и изменить права доступа к разделам SAM и SECURITY.
После настройки аудита реестра информация о чтении и модификации параметров соответствующих разделов будет появляться в журнале безопасности Windows.
Записей о событиях категории Object Access может быть довольно много. Системный администратор должен периодически просматривать и анализировать записи аудита, в том числе те, что относятся к событиям доступа к тому или иному разделу реестра.
