2015-02-27
406
1. Войдите в систему как Администратор (Administrator).
2. Откройте окно Дополнительные параметры безопасности (Advanced Security Settings)
для папки C:\Docs\Project 101.
3. Перейдите на вкладку Аудит (Auditing).
4. Добавьте элемент аудита, позволяющий отслеживать действия группы Project 101 Team. Укажите, что нужно отслеживать успешные и неудачные попытки применения разрешения Удаление (Delete).
Упражнение 2. Включение политики аудита
Поскольку вы вошли на контроллер домена, для включения аудита нужно использовать консоль Политика безопасности контроллера домена (Domain Controller Security Policy). Ha изолированном сервере следовало бы использовать консоль Локальная политика бе-зопасности (Local Security Policy). Для включения аудита вы также могли бы задейство-вать ОГП.
1. Откройте консоль Политика безопасности контроллера домена (Domain Control
Security Policy) из группы программ Администрирование (Administrative Tools).
2. Раскройте узел Локальные политики (Local Policies) и щелкните Политика аудита (Аиdit Policy).
3. Дважды щелкните политику Аудит доступа к объектам (Audit Object Access). 4. Щелкните Определить следующие параметры политики (Define These Policy Settings) 5 Включите аудит успешных и неудачных попыток доступа. 6. Щелкните ОК и закройте консоль. 7. Чтобы обновить политику и гарантировать, что все параметры были применены
|
|
|
в командной строке исполните gpupdate.
Упражнение 3. Генерация событий, подлежащих аудиту
1. Войдите в систему как Danielle Tiedt.
2. Подключитесь к папке \\Server01\Docs\Project 101.
3. Удалите текстовый файл Report.
Упражнение 4. Анализ журнала безопасности
1. Войдите в систему как Администратор (Administrator).
2. Откройте консоль Просмотр событий (Event Viewer) из группы Администрирование (Administrative Tools).
Щелкните узел Безопасность (Security log).
4. Какие типы событий вы видите в журнале безопасности? Только события доступа к объекту? Другие типы событий? Помните, что политики позволяют отслеживать множество действий, связанных с безопасностью, в том числе доступ к службе каталогов, управление учетными записями, вход в систему и т. п.
5. Чтобы сузить область поиска, в меню Вид (View) выберите Фильтр (Filter).
6. Настройте как можно более узкий фильтр. Что вы знаете о событии, которое хотите найти? Вы знаете, что оно может быть успешным или неудачным, принадлежит к категории Доступ к объектам (Object Access) и что оно произошло сегодня.
