Лекция 14. Аудит локальной системы

После включения аудита операционная система Windows XP начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию (журнал Безопасность (Security)) можно просматривать с помощью оснастки Просмотр событий (Event Viewer). В процессе настройки аудита необходимо указать, какие события должны быть отслежены. Информация о них помещается в журнал событий. Каждая запись журнала хранит данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет отслеживать как успешные, так и неудачные попытки выполнения определенного действия, поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.

Настройка аудита может выполняться как в один, так и в два приема:

1. Сначала его следует активизировать с помощью оснастки Локальная политика безопасности (Local Security Settings) или Групповая политика (Group Policy). (По умолчанию аудит отключен, поскольку он несколько снижает производительность системы.) При этом необходимо определить набор (тип) отслеживаемых событий. Это могут быть, например, вход и выход из системы, попытки получить доступ к объектам файловой системы и т. д. Для многих системных событий этой операции достаточно, и их регистрация начинается немедленно.
2. Затем следует указать, какие конкретно объекты необходимо подвергнуть аудиту, и для каких групп или пользователей он будет осуществляться. Эта операция выполняется с помощью Редактора списков управления доступом (ACL) в окне свойств этих объектов. Для разных объектов — файлов, реестра или объектов каталога Active Directory — используемый при этом пользовательский интерфейс будет непринципиально различаться.

Активизация аудита

Рис. 1 - Настройка аудита на локальном компьютере.

Для активизации аудита на изолированном компьютере:

1. Запустите оснастку Политика «Локальный компьютер» (Local Security Settings). Можно также воспользоваться оснасткой Групповая политика (Group Policy) для этого введите в командной строке gpedit.msc.

2. В окне структуры откройте узел Политика «Локальный компьютер» Конфигурация компьютера Конфигурация Windows Параметры безопасности Локальные политики Политика аудита (Local Policies | Audit Policy) (рис. 1).

3. На правой панели появится список политик аудита. По умолчанию все они имеют значение Нет аудита (No Auditing). Для включения аудита следует изменить значения нужных параметров. Выполните двойной щелчок на устанавливаемой политике аудита. Появится диалоговое окно, с помощью которого можно разрешить аудит (см. рис. 2). В группе Вести аудит следующих попыток доступа (Audit these attempts) установите флажки Успех (Success) или Отказ (Failure), или оба.

4. Нажмите кнопку ОК.

Подобную операцию следует повторить для тех политик аудита, которые вы хотите активизировать. Для того чтобы отключить аудит, флажки Успех (Success) и Отказ (Failure) следует снять.

Настройка и просмотр параметров аудита для папок и файлов

Чтобы настроить, просмотреть или изменить параметры аудита файлов и папок:

Рис. 2 - Настройка и просмотр параметров аудита для папок и файлов

1. В окне программы Проводник (Windows Explorer) установите указатель мыши на файл или папку, для которой следует выполнить аудит, и нажмите правую кнопку. В появившемся контекстном меню выберите команду Свойства (Properties). В окне свойств папки или файла перейдите на вкладку Безопасность (Security). Внимание. Напомним, что аудит возможен только на томах NTFS и простое совместное использование файлов должно быть отключено. (См. раздел "Назначение разрешений для файлов" в главе 3.)

2. На вкладке Безопасность (Security) нажмите кнопку Дополнительно (Advanced) и затем перейдите на вкладку Аудит (Auditing) (рис. 2).

3. Если вы хотите проводить аудит для пользователя или группы, на вкладке Аудит (Auditing) нажмите кнопку Добавить (Add). Появится диалоговое окно Выбор: Пользователи или Группы (Select Users or Groups) (см рис. 2). Выберите имя нужного пользователя или группы и нажмите кнопку ОК. Откроется окно Элемент аудита (Auditing Entry) (рис. 9.35) Здесь вы сможете установить все требуемые параметры аудита. В списке Применять (Apply onto) укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В окне Доступ (Access) необходимо указать, какие события нужно отслеживать: окончившиеся успешно (Успех (Successful)), неудачно (Отказ (Failed)) или оба типа событий. Флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Apply these auditing entries to objects and/or containers within this container only) определяет, нужно ли распространять введенные вами настройки аудита на файлы и папки, находящиеся только в выбранной папке.

Рис. 3 - Аудит для пользователя или группы

По умолчанию аудит будет распространяться на все вложенные объекты. В противном случае установите этот флажок (или выберите в списке Применять (Apply onto) опцию Только для этой папки (This folder only)) (см. также следующий раздел). Это позволит не выполнять аудит для тех объектов файловой системы, которые не представляют интереса. После завершения настройки аудита для папки или файла нажмите несколько раз кнопку ОК, чтобы закрыть все диалоговые окна.

4. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку Изменить (Edit) (см. рис. 2). Опять появится окно Элемент аудита (Auditing Entry). Здесь вы сможете выполнить все необходимые изменения параметров аудита для выбранного вами пользователя или группы. По окончании внесения изменений закройте все окна свойств.

Область действия настроек аудита

Аудит, установленный для родительской папки, автоматически наследуется всеми дочерними папками и файлами. Это поведение можно изменять. Если на вкладке Аудит (Auditing) какая-нибудь строка в поле Элементы аудита (Auditing entries) имеет значение Родительский объект (Parent Object) в столбце Унаследовано от (Inherited From) и кнопка Удалить (Remove) недоступна. это значит, что данные настройки аудита унаследованы. В этом случае вы можете:

Изменить настройки аудита родительской папки, и они будут наследоваться всеми дочерними объектами.

Запретить наследование, сняв флажок Наследовать от родительского объекта применимые к дочерним объектам элементы аудита, добавляя их к явно заданным в этом окне (Inherit from parent the auditing entries that apply to child objects...).

Добавить другие записи аудита для выбранного объекта, нажав кнопку Добавить (Add). Эти настройки аудита могут, в свою очередь, наследоваться дочерними объектами этого объекта. В поле Элементы аудита (Auditing entries) новые записи будут иметь значение <не унаследовано> (<not inherited>) в столбце Унаследовано от (Inherited From).

Область действия аудита настраивается в окне Элемент аудита (Auditing Entry), где в раскрывающемся списке Применять (Apply onto) можно выбрать "глубину" распространения настроек аудита. Результирующее действие значения, введенного в этом поле, зависит также от того, установлен или нет флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Apply these auditing entries to objects and/or containers within this container only). По умолчанию этот флажок снят. В табл. 1 и 2 показано, как настройки аудита действуют в случае, когда данный флажок соответственно снят и установлен. Как можно видеть, его состояние определяет значения последних двух столбцов этих таблиц: при установленном флажке никакие проверки не распространяются на содержимое вложенных папок.

Таблица. Действие настроек аудита при снятом флажке Применять этот аудит к объектам и контейнерам только внутри этого контейнера

Значения в списке Применять	Выполняется аудит текущей папки	Выполняется аудит дочерних папок текущей папки	Выполняется аудит файлов в текущей папке	Выполняется аудит всех дочерних папок	Выполняется аудит файлов во всех дочерних папках
Только для этой папки (This folder only)
Для этой папки, ее подпапок и файлов (The folder, subfolders and files)
Для этой папки и ее подпапок (This folder and subfolders)
Для этой папки и ее файлов (This folder and files)
Только для подпапок и файлов (Subfolders and files only)
Только для подпапок (Subfolders only)
Только для файлов (Files only)

Отключение аудита файлов и папок

Для отключения аудита файла или папки:

1. Откройте вкладку Аудит (Auditing) для требуемого файла или папки.

2. В поле Элементы аудита (Auditing entries) выберите нужную запись и нажмите кнопку Удалить (Remove). Аудит для соответствующего пользователя или группы вестись не будет. Если в этом поле не остается ни одной записи, это означает, что аудит данного файла или папки отключен полностью.

Выполнение заданий по расписанию

В дополнение к командам AT системы Windows XP располагают новым средством — планировщиком заданий (Task Scheduler). (Имеется также новая утилита командной строки — Schtasks.exe (cmd Schtasks.exe), имеющая значительно больше функциональных возможностей по сравнению с AT.)

Рис. 4 - Назначенные задания.

С помощью планировщика заданий можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать достаточно сложное расписание для выполнения заданий, в котором задаются продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п.

Рис. 5 - Пример окна планировщика заданий.

Задание сохраняется как файл с расширением job, что позволяет перемещать его с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удаленно, кроме того, задания можно пересылать по электронной почте.

Служба Планировщик заданий (Task Scheduler; имя Schedule) инсталлируется вместе с системой и автоматически запускается при ее загрузке. Панель управлении Назначенные задания. При помощи меню Дополнительно (Advanced) в окне планировщика заданий можно приостанавливать или запускать снова эту службу. Данное меню позволяет также обращаться к журналу регистрации запланированных и выполненных заданий (команда Панель управлении Назначенные задания Дополнительно Просмотреть журнал (View Log)), в котором также фиксируются все ошибки, возникшие при запуске заданий.

Среди особенностей планировщика можно отметить:

удобный графический пользовательский интерфейс;

возможность программного доступа ко всем возможностям планировщика, включая страницы свойств;

создание новых заданий при помощи операции перетаскивания (drag-and-drop) или Мастера планирования заданий (Scheduled Task Wizard).

Графический интерфейс планировщика заданий (рис. 5) не требует знания ключей и параметров программы (как это нужно для использования команды AT), он интегрирован в операционную систему и доступен из панели управления (папка Назначенные задания (Scheduled Tasks)). Кроме того, упрощается отладка заданий, поскольку их легко проверить, запустив в любой момент непосредственно из папки заданий (команда Выполнить (Run) в контекстном меню выбранного задания). В главном окне планировщика выводится основная информация о заданиях: расписание, время следующего и предыдущего запуска, состояние, результат выполнения задания, имя создателя задания.

Мастер планирования заданий (запускаемый при выборе команды Добавить задание (Add Scheduled Task)) позволяет легко и быстро в интерактивном режиме указать все параметры для запуска запланированного задания. Задания могут иметь несколько расписаний, принципиально отличающихся друг от друга. Например, некоторая программа может запускаться ежедневно в одно время, еженедельно — в другое время и однократно — в заданное время указанного дня. Установив флажок Показывать несколько расписаний (Show multiple schedules), можно задать несколько расписаний для запуска этой программы. Назначенные задания работают, если для пользователей установлены пароли.

Рис. 6 - Назначение заданий.

При создании задания требуется указывать имя и пароль пользователя, определяющие контекст безопасности, в котором выполняется задание. Это позволяет запускать на одном компьютере несколько заданий с различными правами в отношении безопасности, т. е. несколько пользователей могут одновременно иметь индивидуальные, независимые расписания запланированных заданий.

Благодаря наличию функционально полного набора интерфейсов API (планировщик задач позволяет использовать все достоинства моделей СОМ и DCOM) разработчики могут встраивать службы планирования заданий в свои приложения, не заботясь о поддержке и надежности этих служб. Возможность доступа к страницам свойств (см. рис. 6) позволяет создавать в приложениях специфические диалоговые окна, а затем вызывать стандартные страницы планировщика.

Утилиты

Windows XP содержит множество утилит командной строки: одни из них выполняют те же действия, что и различные административные оснастки, только позволяют работать в окне консоли или создавать командные файлы, автоматизирующие типовые операции; другие утилиты могут оказаться незаменимым инструментом администратора при выполнении специфических задач по управлению компьютерами, пользователями и сетями.

Администраторы сетей, где используются системы Windows XP, обязательно должны познакомиться с разделом справочной системы "Новые средства командной строки" (New command-line tools) — в окне Центр справки и поддержки (Help and Support Center) нужно щелкнуть ссылку Использование служебных программ... (Use Tools...). Многие утилиты, ранее входившие в состав пакета Windows 2000 Resource Kit, теперь являются стандартными элементами Windows XP — на них также стоит обратить внимание.

Назовем лишь некоторые из утилит командной строки (частично они упоминаются в других главах книги):

Defrag.exe — выполняет дефрагментацию дисковых томов;

Diskpart.exe — позволяет управлять дисками и томами;

Eventcreate.exe — позволяет администратору создавать события в журналах;

Eventtriggers.exe — настраивает триггеры событий, т. е. определенных действий, выполняемых на компьютере;

Fsutil.exe — позволяет управлять дисковыми системами (например, управлять квотами);

Gpupdate.exe — обновляет установки групповых политик, применяемые к компьютеру и пользователю;

Openfiles.exe — отображает открытые файлы;

Schtasks.exe — планировщик задач, значительно более мощный, чем команда AT;

Shutdown.exe — выключение и перезагрузка локального или удаленного компьютера;

Systeminfo.exe — полезная информация о системе, которую иначе искать довольно долго;

Tasklist.exe — отображает список выполняющихся приложений, служб и процессов;

Taskkill.exe — завершает задачи или процессы;

Typeperf.exe — записывает значения счетчиков производительности в окно консоли или в журнал.

В начало страницы