Включение аудита

Протоколируйте подозрительную активность для облегчения установления факта вторжения. Windows 2000 обладает очень мощными функциями протоколирования, но, к сожалению, по умолчанию все они отключены.

В Windows 2003 это исправлено включением ряда функций по умолчанию, но все же разумно проверить, что от- слеживается именно то, что необходимо. С помощью имеющихся возможностей можно наблюдать за неудачными попытками входа в сеть, отслеживать события управления учетными записями, доступа к файлам, использование привилегий и т. п. Можно также протоколировать изменение политик безопасности и все системные события. Для включения аудита в любой из перечисленных областей найдите значок Средства администрирования (Administrative Tools) панели инструментов и дважды щелкните на нем. После этого найдите значок Локальная политика безопасности (Local Security Policy) и дважды щелкните на нем. Раскройте узел дерева Локальные политики (Local Policies).

На заметку: Если Вас интересует решение о вступлении в сро, тогда рекомендуем обратить  внимание на сайт http://www.consult-mega.ru/.

Теперь можно перейти к любой политике и проверить включение протоколирования успешного или неудачного события. Это можно сделать, дважды щелкнув в правой части окна на политике, которую вы хотите изменить. После этого откроется диалоговое окно, Если оставить аудит отключенным, то протоколирование выполняться не будет, поэтому необходимо включить аудит всех политик. После включения аудита для конкретной политики необходимо просматривать пункты журнала событий при возникновении конкретного события аудита. Например, после включения аудита регистрации в системе необходимо просматривать журнал событий безопасности системы, в котором будут отражаться успешные и неудачные попытки.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *