Подкатегории политик аудита

В Windows Server 2012 имеется больше возможностей для точного задания политик аудита. В предыдущих версиях платформы Windows Server политики аудита можно было задавать только для общих категорий. Это обычно приводило к обилию событий безопасности, многие из которых совершенно не интересовали администратора. Для просмотра событий данными и выборки нужных элементов обычно требовалось составление отчетов с помощью программ управления системой.

В Windows Server 2012 во всех общих категориях введены дополнительные подкатегории, для каждой из которых можно указать значение No Auditing, Success, Failure или Success and Failure. Эти подкатегории позволяют администраторам более точно указывать события, подверженные аудиту. К сожалению, категории аудита не вполне соответствуют политикам аудита. Соответствие категорий и политик описано в табл. 20.5.

Можно выполнять аудит доступа к объектам, хотя он не относится к рекомендуемым параметрам. Аудит доступа к объектам может существенно увеличить нагрузку серверов, поэтому его следует применять только в случае конкретной необходимости. Этот аудит является двухэтапным процессом: на первом этапе нужно активировать аудит доступа к объектам, а на втором этапе — выбрать объекты для проведения аудита. При активации аудита необходимо решить, какие события фиксировать: неудачные или удачные. Возможны два варианта. Аудит неудачиого дос^тупа к объектам позволяет наблюдать попытки пользователей доступа к объектам, на которые они не имеют права. Так можно увидеть попытки неавторизованного доступа. Аудит удачного доступа к объектам позволяет наблюдать типичные случаи использования. Так можно увидеть неверное использование полномочий. Укажите необходимый параметр политики в объекте групповой политики. Рекомендуется применять GPO как можно ближе к наблюдаемой системе, чтобы не пришлось активизировать аудит на слишком большом количестве систем.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *