Требования для аудита доступа к объектам
Установка политики аудита является важным аспектом безопасности. Наблюдение за созданием и изменением объектов позволяет отслеживать возможные угрозы безопасности, проверять подлинность пользователя и получать предупреждение в случае нарушения безопасности системы.
Наиболее общими типами событий для аудита являются:
- доступ к таким объектам, как файлы и
папки;
- управление учетными записями пользователей и
групп;
- вход и выход пользователей из системы.
Для реализации политики аудита выполните следующие шаги:
- Для проведения аудита доступа к службе
каталогов или доступа к объектам определите объекты, за доступом к
которым нужно вести наблюдение, и тип контролируемого доступа.
Например, для аудита всех попыток пользователей открыть отдельный
файл можно настроить параметры политики аудита в категории событий
доступа к объектам таким образом, чтобы создавались записи как для
успешных, так и для неудачных попыток чтения файла.
- Укажите категории событий, для которых
следует провести аудит. Примерами категорий событий являются вход
пользователя в систему, выход из нее и управление учетными
записями. Выбранные категории событий составляют политику аудита.
Дополнительные сведения о каждой категории событий см. в разделе
Политики
аудита.
- Установите размер и параметры журнала
безопасности. Можно просмотреть журнал безопасности в окне
программы «Просмотр событий».
Для одного пользователя или одной группы может отображаться один или несколько элементов аудита в зависимости от типа аудита, источника наследования, типа доступа и объектов, к которым он применяется.
Параметр | Описание |
---|---|
Имя объекта |
Называет текущий выбранный объект. |
Записи аудита |
Отображает каждый элемент аудита для данного объекта:
|
Добавить записи аудита, наследуемые от родительских объектов |
Если установлен, элементы аудита, наследуемые от родительского объекта, будут записаны в журнал безопасности. |
Заменить все наследуемые записи аудита для всех потомков на новые элементы аудита, наследуемые от этого объекта |
Если установлен, параметры аудита родительского объекта заменят параметры дочерних объектов. Если снят, параметры аудита каждого объекта, родительского или дочернего, могут быть уникальными. |
Дополнительные ссылки