Требования для аудита доступа к объектам

Установка политики аудита является важным аспектом безопасности. Наблюдение за созданием и изменением объектов позволяет отслеживать возможные угрозы безопасности, проверять подлинность пользователя и получать предупреждение в случае нарушения безопасности системы.

Наиболее общими типами событий для аудита являются:

  • доступ к таким объектам, как файлы и папки;

  • управление учетными записями пользователей и групп;

  • вход и выход пользователей из системы.

Для реализации политики аудита выполните следующие шаги:

  • Для проведения аудита доступа к службе каталогов или доступа к объектам определите объекты, за доступом к которым нужно вести наблюдение, и тип контролируемого доступа. Например, для аудита всех попыток пользователей открыть отдельный файл можно настроить параметры политики аудита в категории событий доступа к объектам таким образом, чтобы создавались записи как для успешных, так и для неудачных попыток чтения файла.

  • Укажите категории событий, для которых следует провести аудит. Примерами категорий событий являются вход пользователя в систему, выход из нее и управление учетными записями. Выбранные категории событий составляют политику аудита. Дополнительные сведения о каждой категории событий см. в разделе Политики аудита.

  • Установите размер и параметры журнала безопасности. Можно просмотреть журнал безопасности в окне программы «Просмотр событий».

Для одного пользователя или одной группы может отображаться один или несколько элементов аудита в зависимости от типа аудита, источника наследования, типа доступа и объектов, к которым он применяется.

Параметр Описание

Имя объекта

Называет текущий выбранный объект.

Записи аудита

Отображает каждый элемент аудита для данного объекта:

  • Тип. Событие, к которому следует применить политику аудита. Это могут быт события «Успех», «Отказ» или «Все». Тип устанавливается доступом разрешений.

  • Имя. Имя объекта, к которому следует применить политики аудита.

  • Доступ. Типы разрешений, например «Полный доступ», «Обзор папок или выполнение файлов», «Чтение атрибутов», «Удаление». Включает разрешения для файлов и папок, объектов Active Directory и файловых серверов.

  • Унаследовано от. Объект, от которого наследуются разрешения. Можно включить элементы аудита, наследуемые от родительского объекта (если таковой существует), установив флажок в данном диалоговом окне.

  • Применять к. Дочерние объекты, к которым также применяются разрешения.

Добавить записи аудита, наследуемые от родительских объектов

Если установлен, элементы аудита, наследуемые от родительского объекта, будут записаны в журнал безопасности.

Заменить все наследуемые записи аудита для всех потомков на новые элементы аудита, наследуемые от этого объекта

Если установлен, параметры аудита родительского объекта заменят параметры дочерних объектов.

Если снят, параметры аудита каждого объекта, родительского или дочернего, могут быть уникальными.

Дополнительные ссылки

Содержание