Windows 2000 производит аудит доступа в тот момент, когда пользователь пытается получить доступ к объекту через прикладную программу. Когда пользователь обращается к объекту из приложения, программа запрашивает у Windows 2000 дескриптор (handle) объекта. С помощью дескриптора приложение выполняет операции над объектом. Прежде чем предоставить дескриптор, Windows 2000 сопоставляет DACL объекта с учетной записью пользователя, запустившего прикладную программу, и типами доступа (например, запись или чтение), запрошенными приложением. Затем Windows 2000 определяет, предусмотрена ли системной политикой аудита запись результатов этого сравнения в журнал. Например, если попытка доступа неудачна, система выясняет, активизирована ли политика аудита для регистрации неудачных обращений к объектам.
Если системной политикой аудита предусмотрена запись результата в журнал, то Windows 2000 обрабатывает SACL объекта. Система исследует каждый элемент ACE, имеющий отношение к результату, и определяет, какие из элементов идентифицируют учетную запись пользователя, запустившего приложение, и все группы, к которым он принадлежит. Затем Windows 2000 исследует типы доступа, указанные в этих ACE. Если хотя бы один тип доступа в ACE совпадает с любым из типов доступа, запрошенных приложением, то Windows 2000 генерирует событие с ID 560 «объект открыт» с соответствующим типом события (Failure Audit или Success Audit). В оснастке Event Viewer консоли Microsoft Management Console (MMC) сообщения о неудачном завершении какой-либо операции отмечены пиктограммой замка, а записи об успешном завершении операции – изображением ключа(либо Администрирование, Просмотр, событий, журнал "Безопасность", категория "Доступ к объектам").
Для активизации аудита на изолированном компьютере:
Запустите оснастку Групповая политика (Выполните последовательно: щелкните кнопку Пуск, далее команды - Администрирование, Локальная политика безопасности).
*Последовательно раскройте узлы Локальные политики, Политика аудита.
в сmd обновляем политику
gpupdate или secedit /refreshpolicy MACHINE_POLICY
При большом количестве пользователей и обрабатываемых ими файлов, если включить аудит доступа к файлам, в журнале безопасности будет создаваться очень много событий. В случае какого-либо инцидента, например, при несанкционированном доступе к закрытой информации, найти нужную запись будет очень трудно. Поэтому, прежде чем включить аудит доступа, его необходимо очень тщательно спланировать. Необходимо определить:
1) доступ к какой информации необходимо отслеживать;
2) какие виды доступа (Чтение, Модификация, Удаление, Изменение разрешений и т.д.);
3) типы событий (успешный и неуспешный доступ);
4) для каких пользователей необходимо отслеживать доступ;
5) как часто будет просматриваться журнал безопасности;
6) по какой схеме будут удаляться "старые" события из журнала.
