За операциями сетевого ответчика можно наблюдать с помощью записи событий в журнал безопасности Windows. Сетевой ответчик позволяет настраивать следующие события аудита.

  • Запуск или остановка службы сетевого ответчика. В журнал заносятся все события запуска и остановки службы «Сетевой ответчик».

  • Изменение конфигурации сетевого ответчика. В журнал заносятся все изменения конфигурации сетевого ответчика, включая изменение параметров аудита.

  • Изменение настроек безопасности сетевого ответчика. В журнал заносятся все изменения таблицы управления доступом к интерфейсам запросов и управления службы «Сетевой ответчик».

  • Запросы, отправленные сетевому ответчику. В журнал заносятся все запросы, обработанные службой «Сетевой ответчик». Этот параметр может создавать высокую загрузку службы, и его следует оценивать отдельно. Обратите внимание, что события аудита создают только запросы, требующие подписывания сетевым ответчиком. Запросы, ответы на которые были предварительно кэшированы, в журнале событий не регистрируются.

Для выполнения этой процедуры необходимо иметь разрешения Управление сетевым ответчиком на сервере, на котором размещен сетевой ответчик. Дополнительные сведения об администрировании инфраструктуры открытого ключа (PKI) см. в разделе Реализация ролевого администрирования.

Чтобы включить аудит операций сетевого ответчика

  1. Откройте оснастку «Сетевой ответчик» и выберите сетевой ответчик.

  2. Выберите команду Свойства респондента в меню Действие или щелкните Свойства респондента в области Действие.

  3. Перейдите на вкладку Аудит, выберите параметры аудита сетевого ответчика для ведения журнала, а затем нажмите кнопку ОК.

События аудита будут регистрироваться в журнале безопасности Windows только в том случае, если включена политика Аудит доступа к объектам.

Для выполнения этой процедуры необходимо иметь права администратора на сервере, на котором размещен сетевой ответчик. Дополнительные сведения об администрировании PKI см. в разделе Реализация ролевого администрирования.

Чтобы включить политику аудита доступа к объектам

  1. Откройте редактор локальной групповой политики.

  2. Разверните узлы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности и Локальные политики, а затем щелкните Политика аудита.

  3. Дважды щелкните политику Аудит доступа к объектам.

  4. Установите флажки Успешно завершено и Сбой, а затем нажмите кнопку ОК.

Дополнительные ссылки

Содержание