Windows Vista. Для профессионалов
Шрифт:
• /А – по умолчанию владельцем указанных в команде файлов становится пользователь, от имени которого выполнено подключение к компьютеру. Если же вы укажете этот параметр, то владельцем станет группа Администраторы.
• /R – по умолчанию владелец файлов сменяется только в файлах указанного в команде каталога. Если же нужно, чтобы владелец сменился для всех файлов, каталогов и содержимого вложенных каталогов, необходимо использовать данный параметр.
• /D <Y или N> – если значение данного параметра равно Y, то в случае отказа в доступе к файлу будет выполняться смена разрешений. Иначе данный файл будет пропущен.
Работа
Как вы, наверное, уже знаете, включить аудит доступа к различным категориям объектов операционной системы можно с помощью оснастки Редактор объектов групповой политики, которая также входит в стандартную консоль gpedit.msc. Для этого нужно перейти в ее подраздел Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита.
После этого можно указать определенный файл или ветвь реестра , аудит доступа к которым будет отслеживаться (если соответствующий тип аудита установлен в групповых политиках). Например, включить аудит для файла можно следующим образом. После отображения окна Свойства файла нужно перейти на вкладку Безопасность и нажать кнопку Дополнительно. Это приведет к отображению нового окна, содержащего вкладку Аудит. Вам достаточно перейти на нее и нажать кнопку Добавить. После этого отобразится окно Выбор: «Пользователь» или «Группа» для выбора учетной записи пользователя, для которого нужно установить аудит доступа к файлу. А после этого отобразится окно Элемент аудита для, с помощью которого можно выбрать действия над файлом, сведения о выполнении которых пользователем будут заноситься в стандартный журнал Windows Vista. Похожим образом устанавливается аудит доступа к ветвям реестра.
Просмотреть же события аудита можно в стандартном журнале операционной системы Безопасность, отображаемом в оснастке Просмотр событий (входит в консоль eventvwr.msc).
Однако это не единственный способ работы с функциями аудита операционной системы.
В состав операционной системы Windows Vista входит программа командной строки, назначением которой является аудит доступа к объектам и его настройкам. Эта программа является нововведением операционной системы Windows Vista, однако мы не будем полностью описывать ее параметры, так как о них всегда можно прочитать, введя в командной строке auditpol.ехе /? или auditpol.ехе <команда> /?. Рассмотрим лишь основные способы применения данной программы.
Просмотр состояния аудита доступа к компонентам операционной системы
С помощью данной программы можно определить, включен или нет аудит доступа к тем или иным категориям или подкатегориям доступа операционной системы.
Для просмотра состояния аудита подкатегорий определенной категории доступа используется команда auditpol.ехе /get /Category: «категория». Здесь вместо категории можно использовать следующие значения.
• Account Logon – определяет аудит событий аутентификации пользователей в системе. В нее входят следующие подкатегории:
– Kerberos Ticket Events – аудит использования билетов Kerberos;
– Other Account Logon Events – аудит других событий;
– Credential Validation – аудит входа в систему с использованием учетных записей.
• Account Management – определяет аудит событий изменения параметров настройки учетных записей пользователей. Например,
– Computer Account Management – изменение системных учетных записей;
– Security Group Management – смена системных групп пользователей;
– Distribution Group Management – изменение в распределении групп пользователей;
– Application Group Management – смена групп приложений;
– Other Account Management Events – изменение других групп пользователей;
– User Account Management – смена пользовательских учетных записей.
• Object Access – определяет аудит событий доступа к объектам (файлам, папкам, принтерам, разделам реестра , системным службам и т. д.). Именно к этой категории относится аудит, который назначается с помощью вкладки Аудит окна Дополнительные параметры безопасности (данное окно отображается после нажатия кнопки Дополнительно окна Свойства папки, файла, принтера или подраздела реестра ). В нее входят следующие подкатегории:
– File System – объекты файловой системы;
– Registry – ветви реестра ;
– Kernel Object – объекты ядра;
– SAM – объекты базы данных локальной безопасности SAM;
– Certification Services – объекты служб сертификации;
– Application Generated – объекты генерирования приложений;
– Handle Manipulation – объекты работы с указателями на окна;
– File Share – объекты доступа к общим файлам и папкам;
– Filtering Platform Packet Drop – список утерянных пакетов;
– Filtering Platform Connection – список соединений;
– Other Object Access Events – другие объекты операционной системы.
• Policy Change – определяет аудит изменения настроек безопасности операционной системы. Например, таких настроек, как изменение доверительных отношений, политики Kerberos, файловой системы EFS и параметров работы протокола QpS. В нее входят следующие подкатегории:
– Authentication Policy Change – изменение политик аутентификации;
– Authorization Policy Change – смена политик авторизации;
– MPSSVC Rule-Level Policy Change – изменение политик MPSSVC;
– Filtering Platform Policy Change – смена политик фильтрации пакетов;
– Other Policy Change Events – изменение других политик;
– Audit Policy Change – смена политик аудита.
• DS Access – определяет аудит изменения объектов Active Directory и их свойств. Поскольку в Active Directory учетные записи пользователей и группы также считаются объектами, некоторые события аудита, заносимые в категорию Account Management, могут заноситься и в эту категорию. В нее входят следующие подкатегории:
– Directory Service Changes – события изменения служб каталога;
– Directory Service Replication – события репликации каталога;
– Detailed Directory Service Replication – расширенные сведения о событиях репликации каталога;
– Directory Service Access – события доступа к службам каталога.
• Logon /Logoff – определяет события аудита входа и выхода из системы, а также регистрации в ней. В отличие от категории Account Logon, которая также содержит информацию об аутентификации, Logon/Logoff хранит события, позволяющие определить протекание всего сеанса регистрации в операционной системе. В нее входят следующие подкатегории: