2015-05-10
1330
Архивация журналов безопасности позволяет вести учет событий, связанных с безопасностью. На многих предприятиях принято сохранять архивированные журналы в течение некоторого времени, чтобы иметь возможность просмотреть информацию по безопасности за требуемый период.
Чтобы сохранить, очистить или просмотреть архивированный журнал, выберите нужный журнал в окне утилиты Просмотр событий (Event Viewer) и выполните одно из действий, перечисленных в таблице 4.7.
Варианты обработки заполненных файлов журнала аудита.
Таблица 4.6
| Параметр | Описание |
| Удалять старые события по необходимости (Overwrite Events As Needed) | Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Однако при этом не требуется обслуживания |
| Удалять события, произошедшие более, чем V дней назад (Overwrite Events Older Than X Days) | Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Будет утрачена только та информация, которая поступила более V дней назад. При применении этого параметра необходимо указать число дней (по умолчанию 7) |
| He удалять события (Do Not Overwrite Events) | Если установлен этот параметр, нужно очищать журнал вручную. При заполнении журнала Windows XP Professional прекращает регистрацию событий, сохраняя уже имеющиеся записи журнала безопасности |
Действия для архивации, очистки или просмотра файла журнала.
Таблица 4.7
| Действие | Выполните |
| Сохранить журнал в архиве | Щелкните Сохранить файл журнала как (Save Log File As), затем введите имя файла |
| Очистить журнал | Для очистки журнала щелкните Стереть все события (Clear All Events). При этом Windows XP Professional генерирует запись в журнале безопасности о том, что журнал очищен |
| Просмотреть архивированный журнал | Щелкните Новый вид журнала (New Log View); укажите вид выбранного журнала |
ЛАБОРАТОРНЫЕ ЗАДАНИЯ И МЕТОДИЧЕСКИЕ УКАЗАНИЯ
ПО ИХ ВЫПОЛНЕНИЮ
Первое лабораторное задание
Планирование и настройка политики аудита ресурсов и событий
Планирование политики аудита
Для планирования политики аудита компьютера прежде всего нужно ответить на несколько вопросов.
• Какие типы событий регистрировать?
• Регистрировать успешные, неудачные попытки или оба вида событий?
Принимая решение, руководствуйтесь правилами, описанными далее.
• Необходимо регистрировать неудачные попытки доступа к компьютеру.
• Необходимо регистрировать неавторизованный доступ к файлам, составляющим базу данных по клиентам.
• Необходимо отслеживать использование цветного принтера для подготовки счетов за его использование.
• Необходимо следить, не пытается ли кто-либо изменить аппаратную конфигурацию компьютера.
• Необходимо вести учет действий, выполняемых администратором, чтобы отследить неавторизованные изменения.
• Необходимо вести учет процедур резервного копирования для предотвращения хищения данных.
• Необходимо отслеживать неавторизованный доступ к критически важным объектам Active Directory.
Ваши решения по аудиту перечисленных действий, успешных или неудачных попыток или обоих видов событий запишите в таблице.
| Регистрируемое действие | Успех | Отказ |
| События входа в систему | ||
| Управление учетными записями | ||
| Доступ к службе каталогов | ||
| Вход в систему | ||
| Доступ к объектам | ||
| Изменение системной политики | ||
| Использование привилегий | ||
| Отслеживание процесса | ||
| Системные события |
