Операционные системы - статьи
         

Установка аудита системы безопасности


  • Войдите в систему с административными правами.

  • Запустите программу User Manager. Выберите в меню: Policies, Audit и отметьте Audit These Events.

  • Выделите для аудита (по минимуму) события с успешным (Success) и неудачным (Failure) результатом выполнения; включите аудит попыток входа в систему и выхода из нее (Logon, Logoff). Закройте диалоговое окно, чтобы активизировать аудит системы.

  • Откройте программу Services в Панели Управления (Control Panel), установите для службы Планировщика NT (NT Scheduler) режим запуска от имени системы (System account). Запустите (или перезапустите) службу Планировщика.

  • Откройте командное окно DOS и проверьте текущее системное время.

  • Прибавьте к текущему времени 1-2 минуты (так, если время 11:30, используйте 11:32) и введите следующую команду: at 11:32 /interactive "regedt32.exe"

    Эта команда вставляет в список Планировщика событие, по которому в 11:32 на консоли будет запущена утилита regedt32 с правами SYSTEM.

  • Дождитесь 11:32, когда Планировщик NT запустит редактор реестра. При этом вы получите доступ ко всему реестру, включая базу данных SAM. Будьте внимательны при редактировании реестра - ошибка может вывести из строя систему.

  • Выберите HKEY_LOCAL_MACHINE, найдите дерево SAM и выделите его в левой панели экрана.

  • Выберите в меню: Security, Auditing.

  • В диалоговом окне Auditing выберите Add, Show Users.

  • Добавьте учетную запись SYSTEM, группу Domain Admins, все учетные записи пользователей, имеющих административные права, а также все остальные учетные записи, которым присвоены следующие права (User Rights):

  • Take ownership of files or other objects (Овладение файлами или иными объектами)

  • Back up files and directories (Архивирование файлов и каталогов)

  • Manage auditing and security log (Управление аудитом и журналом безопасности)

  • Restore files and directories (Восстановление файлов и каталогов)

  • Add workstations to domain (Добавление рабочих станций к домену)

  • Replace a process-level token (Замена маркера уровня процесса)

  • Отметьте: Audit Permission on Existing Subkeys

  • Отметьте Success и Failure для следующих полей:

  • Query Value



  • Set Value

  • Write DAC

  • Read Control

  • Нажмите кнопки OK, Yes.

  • Повторите шаги с 10 по 14 для ключа SECURITY, если это необходимо. Это не требуется, если вам нужно активизировать аудит только тех ключей, которые содержат пароли.

  • Выйдите из редактора реестра.

  • Остановите службу Планировщика и измените его конфигурацию так, чтобы он работал от имени пользователя, которое употреблялось ранее (до шага 4). Если вы не применяете в обычной работе системы Планировщик NT, то просто остановите его или, еще лучше, заблокируйте (вариант disabled).



    • Содержание раздела