Аудит для отслеживания деятельности пользователей. Задачи системного администратора. Инструкция по эксплуатации и особенности системы аудита в Microsoft Windows NT. Порядок занесения событий в журнал. Борьба со злонамеренными действиями пользователей.
Аннотация к работе
«Применение инженерно-технических средств обеспечения информационной безопасности»Кто же удалил документы (Windows 2008/Vista)? В Windows имеется система Аудита, позволяющая отслеживать и журналировать информацию о том, когда, кем и с помощью какой программы были удалены документы. В разделе Computer Configuration раскройте папку Windows Settings > Security Settings > Local Policies > Audit Policies: Дважды щелкните по политике Audit object access (Аудит доступа к объектам) и выберите галочку Success. Обычно такими объектами являются папки общих (разделяемых) документов и папки с производственными программами или базами данных (бухгалтерия, склад и т.п.) - то есть, ресурсы, с которыми работают несколько человек. аудит отслеживание пользователь администратор Вызовите свойства требуемой папки (если таких папок несколько, то всех их по очереди) и на закладке Security (Безопасность) > Advanced (Дополнительно) > Auditing (Аудит) добавьте слежение за субъектом Everyone (Все), его успешными попытками доступа Delete (Удаление) и Delete Subfolders and Files (Удаление подкаталогов и файлов): Событий может журналироваться довольно много, поэтому также следует отрегулировать размер журнала Security (Безопасность), в который они будут записываться.