КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Журнал безопасности
|
|
|
|
Параметры журналов событий
Для использования журналов в качестве мощного инструмента предотвращения неполадок следует иметь представление о параметрах, которые отображаются в журналах.
В журналах регистрируется пять следующих видов событий.
§ Ошибка. Событие высшей категории, отображающее регистрацию серьезного события.
§ Предупреждение. Не самое серьезное событие, которое со временем может привести к ошибкам и переводу события в высшую категорию.
§ Уведомление. Несерьезное событие, которое свидетельствует об успешном завершении операции приложением, драйвером или службой.
§ Аудит успехов. Свидетельствует об успешном выполнении процедуры.
§ Аудит отказов. Свидетельствует о сбое при выполнении процедуры. Такие события нередко свидетельствуют о попытках доступа к ресурсам системы без соответствующих прав.
Каждый файл журнала представляет собой базу данных, состоящую из восьми столбцов, описанных далее.
§ Тип. Отображает один из пяти видов события.
§ Дата. Указывает дату регистрации события.
§ Время. Сообщает время регистрации события.
§ Источник. Указывает источник, который привел к регистрации события.
§ Категория. Отображает классификацию событий. Каждый из трех типов журналов имеет свою категорию.
§ Событие. Сообщает идентификационный номер события. Идентификатор присваивается событию на основе системы кодирования Microsoft. Каждому идентификатору соответствует определенный файл сообщения, причем это сообщение можно просмотреть в окне описания событий.
§ Пользователь. Содержит название учетной записи пользователя, от имени которого производились действия, вызвавшие генерацию событий. Многие события связаны с определенными пользователями, и их имена указаны в этом поле. Информация особенно полезна для отслеживания событий в системе безопасности.
§ Компьютер. Указывает компьютер, на котором зарегистрировано событие. Значения в этом столбце отличаются в тех случаях, когда программа используется для обработки данных, экспортированных из различных журналов.
Средствами аудита можно задать режим, при котором Windows XP Professional регистрирует события в журнале безопасности.
Определение событий, подлежащих регистрации
При планировании политики аудита нужно определить, какие события следует регистрировать и на каких компьютерах надо установить аудит. По умолчанию аудит отключен.
Можно регистрировать следующие типы событий:
• попытки доступа к файлам и папкам;
• вход в систему и выход из нее;
• выключение компьютера с Windows XP Professional;
• запуск компьютера с Windows XP Professional;
• изменения учетных записей пользователей и групп;
• попытки изменения объектов Active Directory (только если компьютер с Windows XP Professional является частью домена).
После того как типы регистрируемых событий заданы, нужно определить, регистрировать ли успешные действия, неудавшиеся попытки или оба вида событий.
Отслеживание успешных действий дает информацию о том, как часто система Windows XP Professional или пользователи обращаются к конкретным файлам, принтерам или другим объектам; эта информация пригодится для планирования ресурсов.
При выборе политики аудита руководствуйтесь правилами:
• Определите, нужно ли отслеживать закономерности загрузки системы. Если да, то предусмотрите сохранение журналов событий в архиве. Это позволит контролировать распределение загрузки по времени и заранее планировать увеличение ресурсов системы.
• Часто просматривайте журналы безопасности. Обязательно установите расписание и регулярно просматривайте журналы безопасности, так как выполнение аудита само по себе не предупреждает о слабых местах в защите системы.
• Задайте информативную и работоспособную политику аудита. Всегда регистрируйте попытки доступа к жизненно важным и конфиденциальным данным. Регистрируйте только те события, которые дают существенную информацию. Это снижает потребление ресурсов компьютера до минимума и упрощает поиск нужной информации. Регистрация большого числа событий может привести к чрезмерной трате системных ресурсов Windows XP Professional.
|
|
|
|
|
Дата добавления: 2015-07-13; Просмотров: 445; Нарушение авторских прав?; Мы поможем в написании вашей работы!