Операционные системы - статьи

         

Установка аудита системы безопасности


  • Войдите в систему с административными правами.
  • Запустите программу User Manager. Выберите в меню: Policies, Audit и отметьте Audit These Events.
  • Выделите для аудита (по минимуму) события с успешным (Success) и неудачным (Failure) результатом выполнения; включите аудит попыток входа в систему и выхода из нее (Logon, Logoff). Закройте диалоговое окно, чтобы активизировать аудит системы.
  • Откройте программу Services в Панели Управления (Control Panel), установите для службы Планировщика NT (NT Scheduler) режим запуска от имени системы (System account). Запустите (или перезапустите) службу Планировщика.
  • Откройте командное окно DOS и проверьте текущее системное время.
  • Прибавьте к текущему времени 1-2 минуты (так, если время 11:30, используйте 11:32) и введите следующую команду: at 11:32 /interactive "regedt32.exe"

    Эта команда вставляет в список Планировщика событие, по которому в 11:32 на консоли будет запущена утилита regedt32 с правами SYSTEM.

  • Дождитесь 11:32, когда Планировщик NT запустит редактор реестра. При этом вы получите доступ ко всему реестру, включая базу данных SAM. Будьте внимательны при редактировании реестра - ошибка может вывести из строя систему.
  • Выберите HKEY_LOCAL_MACHINE, найдите дерево SAM и выделите его в левой панели экрана.
  • Выберите в меню: Security, Auditing.
  • В диалоговом окне Auditing выберите Add, Show Users.
  • Добавьте учетную запись SYSTEM, группу Domain Admins, все учетные записи пользователей, имеющих административные права, а также все остальные учетные записи, которым присвоены следующие права (User Rights):
  • Take ownership of files or other objects (Овладение файлами или иными объектами)


  • Back up files and directories (Архивирование файлов и каталогов)
  • Manage auditing and security log (Управление аудитом и журналом безопасности)
  • Restore files and directories (Восстановление файлов и каталогов)
  • Add workstations to domain (Добавление рабочих станций к домену)
  • Replace a process-level token (Замена маркера уровня процесса)
  • Отметьте: Audit Permission on Existing Subkeys
  • Отметьте Success и Failure для следующих полей:
  • Query Value
  • Set Value
  • Write DAC
  • Read Control
  • Нажмите кнопки OK, Yes.
  • Повторите шаги с 10 по 14 для ключа SECURITY, если это необходимо. Это не требуется, если вам нужно активизировать аудит только тех ключей, которые содержат пароли.
  • Выйдите из редактора реестра.
  • Остановите службу Планировщика и измените его конфигурацию так, чтобы он работал от имени пользователя, которое употреблялось ранее (до шага 4). Если вы не применяете в обычной работе системы Планировщик NT, то просто остановите его или, еще лучше, заблокируйте (вариант disabled).


  • Содержание раздела