Политики аудита - основа отслеживания событий в системе Windows Server 2003. Выбирая политики аудита, следует помнить, что они могут потребовать существенного расхода вычислительных ресурсов - вдобавок к тем, которые обеспечивают функционирование сервера. В противном случае может заметно снизиться производительность сервера. К тому же большие объемы запротоколированной информации полезны лишь настолько, насколько хороши средства просмотра журналов аудита. Другими словами, если объем собранной информации таков, что требует значительных усилий по ее обработке, можно считать, что основная цель аудита не достигнута. Поэтому очень важно потратить достаточное время на планирование того, как будет осуществляться аудит системы. Это позволит администратору правильно определить, что именно должно подвергаться аудиту и почему, излишне не перегружая систему.
С помощью политик аудита могут отслеживаться успешные или неудачные события в среде Windows Server 2003, то есть можно фиксировать, нормально ли прошло событие или завершилось аварийно. Ниже перечислены типы событий, которые можно отслеживать.
• События входа в систему. Каждый раз, когда пользователь пытается зарегистрироваться в системе, успешная или неудачная регистрация может быть запротоколирована. Отказ в регистрации может быть вызван попыткой входа неизвестного пользователя, нарушением ограничений по времени, устареванием учетной записи пользователя, запретом локального входа в систему, устареванием пароля и просто врменной блокировкой входа данного пользователя.
• Управление учетными записями. Когда учетная запись пользователя изменяется, это событие может быть запротоколировано и позже проанализировано. Несмотря на то что это в большей степени касается Windows Server 2003, а не Exchange Server 2003, подобного рода события по-прежнему весьма актуальны, поскольку каталог Exchange хранится в Active Directory.
• Доступ к службе каталогов. Каждый раз, когда пользователь обращается к объекту Active Directory, который имеет свой собственный системный список управления доступом (System Access Control List - SACL), это событие протоколируется.
• События регистрации в системе. Протоколируется регистрация в системе по сети или посредством служб.
• Доступ к объектам. Протоколируются события доступа к ресурсам (например, к принтерам или общедоступным папкам).
• Изменение политики. Каждый раз при попытке смены политики (прав пользователя, политик аудита учетных записей, политик доверительных отношений) осуществляется протоколирование такого события.
• Привилегированные операции. К привилегированным операциям назначение прав доступа, изменение системного времени и тому подобные действия. Успешные и неудачные попытки могут протоколироваться.
• Отслеживание процессов. Могут протоколироваться события для каждой программы или процесса, запускаемого пользователем во время сеанса работы с системой. Эта информация может быть очень детальной и требовать значительного расхода ресурсов.
• Системные события. Специфические системные события, такие как перезагрузка компьютера, или останов системы, также протоколируются.
Политики аудита можно включать и отключать через настройки локальной системной политики или объекты групповых политик. Политики аудита находятся в папке
Computer ConfigurationWindows SettingsSecurity Settings Local PoliciesAudit Policy
(Конфигурация компьютераНастройки WindowsНастройки безопасностиЛокаль-ные политикиПолитика аудита), как показано на рис. 12.2.
Политики аудита