Операционные системы - статьи


Установка аудита системы безопасности


  1. Войдите в систему с административными правами.
  2. Запустите программу User Manager. Выберите в меню: Policies, Audit и отметьте Audit These Events.
  3. Выделите для аудита (по минимуму) события с успешным (Success) и неудачным (Failure) результатом выполнения; включите аудит попыток входа в систему и выхода из нее (Logon, Logoff). Закройте диалоговое окно, чтобы активизировать аудит системы.
  4. Откройте программу Services в Панели Управления (Control Panel), установите для службы Планировщика NT (NT Scheduler) режим запуска от имени системы (System account). Запустите (или перезапустите) службу Планировщика.
  5. Откройте командное окно DOS и проверьте текущее системное время.
  6. Прибавьте к текущему времени 1-2 минуты (так, если время 11:30, используйте 11:32) и введите следующую команду: at 11:32 /interactive "regedt32.exe"

    Эта команда вставляет в список Планировщика событие, по которому в 11:32 на консоли будет запущена утилита regedt32 с правами SYSTEM.

  7. Дождитесь 11:32, когда Планировщик NT запустит редактор реестра. При этом вы получите доступ ко всему реестру, включая базу данных SAM. Будьте внимательны при редактировании реестра - ошибка может вывести из строя систему.
  8. Выберите HKEY_LOCAL_MACHINE, найдите дерево SAM и выделите его в левой панели экрана.
  9. Выберите в меню: Security, Auditing.
  10. В диалоговом окне Auditing выберите Add, Show Users.
  11. Добавьте учетную запись SYSTEM, группу Domain Admins, все учетные записи пользователей, имеющих административные права, а также все остальные учетные записи, которым присвоены следующие права (User Rights):
    • Take ownership of files or other objects (Овладение файлами или иными объектами)
    • Back up files and directories (Архивирование файлов и каталогов)
    • Manage auditing and security log (Управление аудитом и журналом безопасности)
    • Restore files and directories (Восстановление файлов и каталогов)
    • Add workstations to domain (Добавление рабочих станций к домену)
    • Replace a process-level token (Замена маркера уровня процесса)

  12. Отметьте: Audit Permission on Existing Subkeys
  13. Отметьте Success и Failure для следующих полей:
    • Query Value
    • Set Value
    • Write DAC
    • Read Control

  14. Нажмите кнопки OK, Yes.
  15. Повторите шаги с 10 по 14 для ключа SECURITY, если это необходимо. Это не требуется, если вам нужно активизировать аудит только тех ключей, которые содержат пароли.
  16. Выйдите из редактора реестра.
  17. Остановите службу Планировщика и измените его конфигурацию так, чтобы он работал от имени пользователя, которое употреблялось ранее (до шага 4). Если вы не применяете в обычной работе системы Планировщик NT, то просто остановите его или, еще лучше, заблокируйте (вариант disabled).




Начало  Назад  Вперед



Книжный магазин