Аудит доступа к ресурсам

Файловая система NTFS позволяет осуществлять аудит доступа к файловым ресурсам, т.е. отслеживать и регистрировать события, связанные с получением или неполучением доступа к тому или иному объекту.

Для того, чтобы включить аудит, необходимо выполнить два действия:

· включить политику аудита доступа к объектам в домене или том ОП, в котором размещен файловый сервер;

· после применения политики включить аудит доступа на самом объекте — папке или файле.

Первое действие выполняется с помощью редактора групповых политик:

· откроем раздел "Параметры безопасности" в политике для соответствующего ОП, далее — "Локальные политики" и "Политика аудита";

· откроем параметр "Аудит доступа к объектам";

· включим механизм аудита для успешного доступа и отказа предоставления доступа.

Второе действие выполняется на закладке "Аудит" после нажатия кнопки "Дополнительно" в параметрах безопасности объекта. Нужно добавить списки пользователей и групп, попытки доступа которых будут отслеживаться для данной папки или файла, указав при этом, какие именно виды доступа надо регистрировать. Для того, чтобы можно было регистрировать попытки несанкционированного доступа к файловым ресурсам, необходимо включить в процесс регистрации и удачные, и неудачные попытки доступа.

После включения механизма аудита все события доступа, перечисленные в настройках аудита, будут регистрироваться в журнале безопасности данного сервера (оснастка "Просмотр событий", журнал "Безопасность", категория "Доступ к объектам").

В заключении данного пункта отметим, что включать аудит большого количества файловых ресурсов следует с большой осторожностью. При большом количестве пользователей и обрабатываемых ими файлов, если включить аудит доступа к файлам, в журнале безопасности будет создаваться очень много событий. В случае какого-либо инцидента, например, при несанкционированном доступе к закрытой информации, найти нужную запись будет очень трудно. Поэтому, прежде чем включить аудит доступа, его необходимо очень тщательно спланировать. Необходимо определить:

· доступ к какой информации необходимо отслеживать;

· какие виды доступа (Чтение, Модификация, Удаление, Изменение разрешений и т.д.);

· типы событий (успешный и неуспешный доступ);

· для каких пользователей необходимо отслеживать доступ;

· как часто будет просматриваться журнал безопасности;

· по какой схеме будут удаляться "старые" события из журнала.