Аудит в отношении объектов Active Directory осуществляется так же, как и аудит
других объектов операционной системы. Полученная в результате информация просматривается
с помощью оснастки. Просмотр событий (Event Viewer). Активизируется аудит
с помощью оснастки Групповая политика (Group Policy) (см. главу 27).
Информация, полученная
в результате аудита, позволяет диагностировать потенциальные бреши в системе безопасности
и разрешать возникающие проблемы. При настройке аудита нужно определить, какие
объекты должны быть отслежены и какие связанные с ними события следует фиксировать
в журнале.
При аудите объектов
Active Directory информация заносится в журнал событий каждый раз, когда происходит
отслеживаемое событие. Данные журнала позволяют определить, какое действие было
выполнено, кто его выполнил, дату и время возникновения события и успех или неудачу
его завершения.
Аудит объектов
Active Directory отличается от локальной политики аудита. Последняя является частью
политики безопасности компьютера и позволяет отслеживать только локальные события.
С другой стороны, аудит объектов Active Directory позволяет отслеживать события,
связанные с изменением свойств объектов, а также с попытками получения доступа
к ним, модификации или удаления объектов в масштабах всего каталога Active Directory.
Активизация и настройки аудита родительского объекта наследуются всеми дочерними
объектами Active Directory. Однако гибкая система, регулирующая степень распространения
конкретных настроек, позволяет конфигурировать аудит для одного объекта, для родительского
объекта и всех дочерних объектов, только для дочерних объектов или для конкретного
дочернего объекта.
Типовые задачи администрирования Windows 2003
Аудит локальной системы
Аудит — это процесс, позволяющий фиксировать события, происходящие в операционной
системе и имеющие отношение к безопасности: например, регистрация в системе
или попытки создания объекта файловой системы, получения к нему доступа или
удаления. Информация о подобных событиях заносится в файл журнала событий операционной
системы.
После включения аудита операционная система начинает отслеживать события, связанные
с безопасностью. Полученную в результате информацию (журнал Security) можно
просмотреть с помощью оснастки Event Viewer (Просмотр
событий). В процессе настройки аудита необходимо указать, какие события должны
быть отслежены. Информация о них помещается в журнал событий. Каждая запись
журнала хранит данные о типе выполненного действия, пользователе, выполнившем
его, а также о дате и моменте времени выполнения данного действия. Аудит позволяет
отслеживать как успешные, так и неудачные попытки выполнения определенного действия,
поэтому при просмотре журнала событий можно выяснить, кто предпринял попытку
выполнения неразрешенного ему действия.
