Аудит реестра

 

Аудит представляет собой процесс, который операционные системы Windows NT/2000/XP используют для обнаружения и регистрации событий, связанных с системой безопасности. К таким событиям относятся, например, попытки создания или удаления системных объектов, а также попытки получения доступа к таким объектам. Обратите внимание, что в объектно-ориентированных системах в качестве объекта может рассматриваться все что угодно – файлы, папки, ключи реестра и т. д. Все эти и другие подобные им события регистрируются в файле, известном под названием «Журнал безопасности (security log)». По умолчанию аудит в системе не активизирован. Таким образом, если вам необходимо контролировать события, относящиеся к безопасности, то требуется его активизировать. После того как это будет сделано, операционная система начинает регистрировать события, связанные с системой безопасности, и зарегистрированные данные можно просмотреть с помощью специального средства просмотра – утилиты Просмотр событий (Event Viewer). При установке аудита можно указать типы событий, подлежащих регистрации в журнале безопасности, и операционная система будет создавать в журнале безопасности запись о событии каждый раз, когда событие указанного типа происходит в системе. Запись в журнале безопасности содержит описание события, имя пользователя, который выполнил соответствующие этому событию действия, а также дату и время события. Аудит можно установить как на успешные, так и на неудачные попытки выполнения операций, и журнал безопасности, соответственно, будет отображать имена пользователей, совершивших успешные попытки, и имена пользователей, пытавшихся выполнить запрещенные действия.

 

Рис. 2.5. Дополнительные параметры безопасности