Настройка политики аудита
Политики аудита определяют, какие категории сообщений о событиях отслеживаются и сохраняются в журналах Windows 2000 и IIS. Параметры событий аудита подчиняются стандартным правилам применения групповой политики. Политики аудита в Windows 2000 организованы в следующую иерархию.
- Параметры политики домена.
- Параметры политики сайта.
- Параметры локальной политики.
Иногда достаточно применить локальную политику на отдельном сервере. Однако если веб-сервер находится в домене интранет-сети, и имеется политика более высокого уровня иерархии, эта политика будет игнорировать локальные настройки. Следовательно, при работе учитывайте контекст сервера. Если сервер является частью Active Directory, то понадобится настройка политики на уровне группы, а не на локальном уровне.
Политики аудита устанавливаются локально с помощью консоли MMC Local Security Policy (Локальная политика безопасности). Просматривать и изменять политику аудита в системе можно следующим образом.
- Откройте консоль MMC Local Security Policy (Локальная политика безопасности) в окне Start\Administrative Tools (Пуск\Администрирование) (см. рисунок).
- В области слева щелкните на папке Local Policies (Локальные политики) для отображения вложенных папок. Щелкните на папке Audit Policy (Политика аудита), чтобы отобразить отдельные параметры политики аудита в правой области консоли.
- В правой области щелкните правой кнопкой мыши на политике, которую требуется изменить, и в появившемся меню выберите команду Security (Безопасность) (либо просто дважды щелкните на политике), чтобы открыть диалоговое окно.
- Каждая из настроек политики аудита содержит одни и те же параметры – Success (Успех) (фиксируемая успешная попытка доступа) и Failure (Неудача) (фиксируемая неудачная попытка доступа), которые можно настраивать. Отметьте опции Success и Failure в соответствии со своей политикой аудита.
Использование оснасток Security Configuration (Настройка безопасности) и Security Templates (Шаблоны безопасности) обсуждалось в лекции 4.
Таблица 5. 4 содержит параметры конфигурации политики аудита, используемые при выполнении программы IIS Lockdown или шаблона High Security Template (hisecweb.inf) (см. лекции 3, 4).
Совет. Данный материал соответствует рекомендациям Microsoft по настройке политики аудита в Windows 2000. Если вы не хотите придерживаться этих рекомендаций, то в приложении C содержится более подробный перечень параметров.
Account Logon (Вход учетной записи) | Вкл. | Вкл. |
Account Management (Управление учетной записью) | Вкл. | Вкл. |
Directory Service Access (Доступ к службе каталогов) | Выкл. | Выкл. |
Logon (Вход в систему) | Вкл. | Вкл. |
Object Access (Доступ к объектам) | Выкл. | Вкл. |
Policy Change (Изменение политики) | Вкл. | Вкл. |
Privilege Use (Использование привилегий) | Вкл. | Вкл. |
Process Tracking (Отслеживание процессов) | Выкл. | Выкл. |
System (Система) | Вкл. | Вкл. |