В данном руководстве описаны вопросы администрирования сети на базе операционных систем семейства Microsoft® Windows® 2000, рассмотрены основные ресурсы, предоставляемые такой сетью (файловые и веб-ресурсы, принтеры), а также инфраструктура службы каталогов (учётные записи пользователей и механизм проверки подлинности (аутентификации)), которая обеспечивает и контролирует доступ к этим ресурсам. Особое внимание уделяется настройке учётных записей пользователей и использованию групп для управления доступом к таким ресурсам, как общие папки, принтеры, веб-серверы. Выполнение этого сценария требует использования службы каталогов Active Directory™.
В современном мире объединённых сетей потребность в безопасности высока как никогда. Это касается и защиты внутренних сетей, и защиты внешних интерфейсов, подключённых к Интернету.
Превосходная гибкость и опирающиеся на стандарты технологии платформы Microsoft® Windows® 2000 позволяют максимально защитить процесс аутентификации пользователя, а также службы печати, файловые и веб-службы.
В Windows 2000 представлены новые механизмы аутентификации, такие как вход в систему с использованием смарт-карт и сертификатов. Технология IP-безопасности позволяет шифровать данные, передаваемые по сети между клиентом и сервером, а также между организациями через сеть Интернет.
Условия, необходимые для выполнения сценария
Данное руководство опирается на конфигурацию, представленную в статье Обновление домена Windows NT до Windows 2000 с поддержкой Active Directory (Upgrading a Windows NT Domain to Windows 2000 Active Directory).
Средства администрирования на всех контроллерах домена на базе Windows 2000 устанавливаются по умолчанию. На изолированных серверах и рабочих станциях на базе Windows 2000 средства для администрирования службы Active Directory™ можно установить из пакета дополнительных компонентов Windows 2000 (Optional Windows 2000 components package).
Задачи сценария
Данное руководство описывает выполнение следующих задач.
Задачи установки и управления
· Администрирование службы каталогов Active Directory, включая организационные подразделения (Organizational Units), делегирование административных прав, учётные записи пользователей (создание, удаление, переименование и поиск пользователей), политику паролей и блокировку учётных записей. · Администрирование групп (включая их создание) и добавление пользователей. · Администрирование файловых ресурсов, включая создание общих папок и назначение разрешений. · Администрирование принтеров, включая создание общих принтеров и назначение разрешений. · Администрирование веб-ресурсов, включая настройку аутентификации, разрешений и используемых по умолчанию документов, создание виртуальных каталогов. Примечание переводчика. В оригинале данная задача оставлена без рассмотрения. · Мониторинг журналов событий, включая настройку аудита событий и наблюдение за журналами аудита для обеспечения записи событий безопасности и сетевых событий пользовательского уровня.
· Задачи, выполняемые конечными пользователями: запрос сертификата, создание веб-папки, предъявление сертификата при аутентификации. (Примечание переводчика. В оригинале данная задача оставлена без рассмотрения.)
Служба каталогов Active Directory в Windows 2000 заменяет собой базу данных по учётным записям, существовавшую в Windows NT®, тем самым представляя собой хранилище информации об учётных записях пользователей и компьютеров.
В то же время, в каталоге Active Directory помимо этой информации могут храниться политики, сертификаты и множество других объектов. Каталог Active Directory имеет открытую структуру и может использоваться приложениями сторонних разработчиков.
Организационные подразделения (Organizational Unit, OU)
Организационные подразделения – это контейнеры Active Directory, в которые Вы можете помещать пользователей, группы, компьютеры и другие организационные подразделения. В них не могут содержаться объекты из других доменов.
Организационное подразделение – это наименьший элемент, к которому можно применить настройки групповых политик или делегировать административные полномочия. Используя организационные подразделения, Вы можете создавать контейнеры внутри домена, отражающие логическую структуру Вашей организации с определённой иерархией, как будет описано ниже. Это позволяет управлять настройкой и использованием учётных записей и ресурсов на основе Вашей организационной модели.
Организационные подразделения могут включать в себя другие организационные подразделения. Иерархия контейнеров может расширяться по мере необходимости, чтобы отразить иерархию Вашей организации в рамках домена. Использование организационных подразделений помогает минимизировать количество доменов, необходимых для Вашей сети.
Используя организационные подразделения, Вы можете создать административную модель, масштабируемую до любого размера. Пользователю можно предоставить административные полномочия на все организационные подразделения в домене или только на одно из них. Администратор организационного подразделения не обязательно должен иметь администраторские полномочия на какие-либо ещё организационные подразделения в домене.
Чтобы добавить организационное подразделение
1.
Нажмите кнопку Пуск (Start), выберите Программы (Programs), выберите Администрирование (Administrative Tools) и откройте оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers).
2.
В дереве консоли двойным щелчком раскройте узел домена.
3.
Правой кнопкой мыши щёлкните по узлу домена или по контейнеру, в который Вы хотите добавить организационное подразделение.
4.
Выберите Создать (New) и щёлкните по пункту Подразделение (Organizational unit).
5.
Введите название организационного подразделения.
Делегирование административных прав
Вы можете делегировать права на администрирование на любом уровне доменного дерева, создавая в домене организационные подразделения и делегируя определённым пользователям или группам права на администрирование конкретных подразделений.
Прежде чем решить, какие организационные подразделения создавать и в каких их них должны находиться учётные записи или общие ресурсы, изучите структуру Вашей организации. К примеру, Вы можете создать организационное подразделение для предоставления какому-либо пользователю прав на администрирование учётных записей пользователей и компьютеров изо всех филиалов, относящихся к какому-то одному отделу (подразделению) в организации, (например, к финансовому отделу). Либо Вы можете предоставить пользователю административные права только на некоторые ресурсы внутри подразделения – например, на учётные записи компьютеров. Ещё одним вариантом делегирования административных полномочий является предоставление пользователю прав на администрирование только организационного подразделения, соответствующего финансовому отделу, исключая любые вложенные подразделения.
В случае делегирования прав на администрирование Вам не придётся создавать множество административных учётных записей, обладающих широкими полномочиями (например, правом управления всем доменом). И хотя, вероятно, Вы всё же будете использовать стандартную группу Администраторы домена (Domain Admins) для администрирования всего домена, Вы сможете ограничить число учётных записей, входящих в эту группу, оставив в ней только надёжных администраторов.
В Windows 2000 определено множество очень специфических разрешений и прав пользователей, которые могут использоваться для делегирования или ограничения административных прав. При совместном использовании организационных подразделений, групп и разрешений Вы можете должным образом определить административные права для конкретного человека: на весь домен, на все организационные подразделения домена или на какое-то одно подразделение.
Административные права могут быть предоставлены пользователю или группе при помощи мастера делегирования управления (Delegation of Control wizard). При использовании этого мастера Вам нужно выбрать пользователя или группу, которой Вы хотите делегировать управление, выбрать организационные подразделения и объекты, право управления которыми Вы хотите предоставить этим пользователям, а также выбрать разрешения на доступ и изменение объектов. К примеру, пользователю может быть предоставлено право на изменение свойства Владелец учётных записей (Owner of Accounts) без предоставления права на удаление учётных записей из этого организационного подразделения.
Чтобы делегировать управление организационным подразделением
1.
Нажмите кнопку Пуск (Start), выберите Программы (Programs), выберите Администрирование (Administrative Tools) и откройте оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers).
2.
В дереве консоли двойным щелчком раскройте узел домена.
3.
В области сведений щёлкните правой кнопкой мыши по организационному подразделению, после чего выберите пункт Делегировать управление (Delegate control), чтобы запустить мастер делегирования управления (Delegation of Control wizard), изображённый ниже.
Нажмите кнопку Пуск (Start), выберите Программы (Programs), выберите Администрирование (Administrative Tools) и откройте оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers).
2.
В дереве консоли двойным щелчком раскройте узел домена.
3.
В области сведений щёлкните правой кнопкой мыши по организационному подразделению, куда Вы хотите добавить пользователя, выберите команду Создать (New), а затем щёлкните по пункту Пользователь (User).
4.
Введите имя, инициалы и фамилию.
5.
В поле Имя входа пользователя (User logon name) введите имя, под которым пользователь будет входить в сеть, а из раскрывающегося списка выберите суффикс UPN, который должен добавляться к имени входа пользователя (после символа @).
6.
В полях Пароль (Password) и Подтверждение пароля (Confirm password) введите пароль пользователя, установите требуемые параметры пароля.
Чтобы отключить учётную запись пользователя
1.
Нажмите кнопку Пуск (Start), выберите Программы (Programs), выберите Администрирование (Administrative Tools) и откройте оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers).
2.
В дереве консоли щёлкните по папке Пользователи (Users) или по той папке, где находится нужная учётная запись.
3.
В области сведений щёлкните правой кнопкой мыши по учётной записи.
4.
Щёлкните по пункту Отключить учётную запись (Disable Account), как показано ниже.
Откройте меню Пуск (Start), выберите Программы (Programs), выберите Администрирование (Administrative Tools) и откройте оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers).
2.
В дереве консоли щёлкните по папке Пользователи (Users) или по тому контейнеру, где находится нужная учётная запись.
3.
В области сведений щёлкните правой кнопкой мыши по учётной записи и выберите пункт Переименовать (Rename).
4.
Введите новое имя, либо нажмите сначала клавишу DELETE, а потом ENTER – появится диалоговое окно Переименование пользователя (Rename User).
5.
In Rename User, in Name, type the user name.
В окне Переименование пользователя (Rename User) в поле Имя (Name) введите имя пользователя.
6.
Введите имя и фамилию пользователя, а также отображаемое имя для идентификации пользователя.
7.
В поле Имя входа пользователя (User logon name) введите имя, под которым пользователь будет входить в сеть, а из раскрывающегося списка выберите суффикс UPN, который должен добавляться к этому имени (после символа @).
Чтобы найти учётную запись пользователя
1.
Откройте меню Пуск (Start), выберите Программы (Programs), выберите Администрирование (Administrative Tools) и откройте оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers).
2.
Для поиска объекта по всему домену щёлкните в дереве консоли правой кнопкой мыши по узлу домена и выберите пункт Найти (Find).Если Вы знаете, в каком организационном подразделении находится пользователь, в дереве консоли щёлкните правой кнопкой мыши по этому подразделению и затем выберите пункт Найти (Find).
Для указания параметров расширенного поиска используйте вкладку Дополнительно (Advanced).
3.
Введите имя пользователя, которого Вы хотите найти, и нажмите кнопку Найти (Find Now), как показано ниже.
Откройте меню Пуск (Start), выберите Программы (Programs), выберите Администрирование (Administrative Tools) и откройте оснастку Active Directory – пользователи и компьютеры (Active Directory Users and Computers).
2.
В дереве консоли двойным щелчком раскройте узел домена.
3.
Щёлкните правой кнопкой мыши по папке, в которую Вы хотите добавить группу, выберите Создать (New), а затем щёлкните по пункту Группа (Group).
По умолчанию это имя вводится также в качестве имени пред-Windows 2000 для новой группы.
5.
Укажите требуемую область действия группы (Group scope).
6.
Click the Group type you want.
Укажите требуемый тип группы (Group type).
Советы по управлению Вашим каталогом
•
По возможности используйте организационные подразделения (OU) вместо доменов.
•
Следите за Вашими политиками. К разным OU могут быть применены разные политики, что может привести к неожиданным результатам. Обратите внимание, что к любому пользователю может применяться множество политик.
•
Используйте сценарии для добавления большого числа пользователей.
•
Старайтесь отключать учётные записи вместо того, чтобы удалять их. Эта мера безопасности не позволит определённому пользователю выполнить вход в систему.
•
Области действия групп представлены в следующей таблице.
Универсальная область
Глобальная область
Локальная доменная область
В доменах, работающих в основном режиме, эти группы могут включать следующие элементы из любого домена: учётные записи членов домена, глобальные и универсальные группы.
В доменах, работающих в основном режиме, в состав этих групп могут входить учётные записи членов этого же домена и глобальные группы из этого же домена.
В доменах, работающих в основном режиме, членами этих групп могут являться глобальные и универсальные группы из любого домена, а также локальные доменные группы из этого же домена.
В доменах, работающих в смешанном режиме, нельзя создать группу безопасности с универсальной областью действия.
В доменах, работающих в смешанном режиме, членами этих групп могут являться учётные записи из этого же домена.
В доменах, работающих в смешанном режиме, членами этих групп могут являться учётных записи и глобальные группы из любого домена.
Группы могут входить в состав других групп (когда домен работает в основном режиме), разрешения для них могут устанавливаться в любом домене.
Группы могут входить в состав других групп, разрешения для них могут устанавливаться в любом домене.
Группы могут входить в состав других локальных доменных групп, разрешения для них могут устанавливаться только в том же домене.
Не может быть преобразована в группу с другой областью действия.
Может быть преобразована в группу с универсальной областью действия, если только не является членом другой группы с глобальной областью действия.
Может быть преобразована в группу с универсальной областью действия, если только в её состав не входит другая группа с локальной доменной областью действия.
•
Типы групп.
В Windows 2000 существует два типа групп:
•
группы безопасности;
•
группы распространения.
Группы безопасности указываются в списках разграничительного контроля доступа (discretionary access control list, DACL), которые устанавливают разрешения на доступ к ресурсам и объектам. Группы безопасности могут также использоваться при адресации электронной почты. При отправке сообщения такой группе сообщение отправляется всем членам этой группы.
Группы распространения не используются в целях безопасности. Они не могут быть указаны в списках DACL. Группы распространения могут использоваться только в почтовых приложениях (таких как Exchange) для отправки электронных сообщений определённому кругу пользователей. Если Вы не намерены использовать группу в целях управления безопасностью, создайте группу распространения вместо группы безопасности.
Нажмите кнопку Пуск (Start), выберите пункт Программы (Programs), затем Стандартные (Accessories) и запустите программу Проводник (Windows Explorer). Найдите папку или диск, которые Вы хотите сделать общими.
2.
Правой кнопкой мыши щёлкните по этой папке или диску и выберите пункт Доступ (Sharing).
3.
На вкладке Доступ (Sharing) выберите пункт Открыть общий доступ к этой папке (Share this folder).
Примечание
•
Чтобы изменить имя общей папки или диска, введите новое имя в поле Сетевое имя (Share name). Именно это имя увидят пользователи при подключении к этой общей папке или диску. Фактическое имя папки или диска при этом не изменится.
•
Чтобы добавить комментарий к общей папке или диску, введите соответствующий текст в поле Комментарий (Comment).
•
Чтобы ограничить число пользователей, которые могут одновременно подключаться к общей папке или диску, установите переключатель Предельное число пользователей (User limit) в положение Не более (Allow) и затем введите требуемое число.
•
Чтобы установить разрешения на общую папку или диск, нажмите кнопку Разрешения (Permissions) – в результате откроется окно, показанное ниже.
Для настройки доступа к этой общей папке в автономном режиме нажмите кнопку Кэширование (Caching).
Чтобы установить, просмотреть или удалить разрешения для общей папки или диска
1.
Откройте проводник Windows (Windows Explorer) и найдите общую папку или диск, для которых Вы хотите установить разрешения.
2.
Правой кнопкой мыши щёлкните по этой папке или диску и выберите пункт Доступ (Sharing).
3.
На вкладке Доступ (Sharing) нажмите кнопку Разрешения (Permissions).
4.
Для установки разрешений на общую папку нажмите кнопку Добавить (Add). Введите имя группы или пользователя, для которого Вы хотите установить разрешения, после чего нажмите кнопку OK, чтобы закрыть диалоговое окно.
5.
Чтобы удалить разрешения, выделите группу или пользователя в списке Имя (Name), после чего нажмите кнопку Удалить (Remove).
6.
В случае необходимости в списке Разрешения (Permissions) для каждого вида разрешений установите флажок в столбце Разрешить (Allow) или Запретить (Deny).
Советы и рекомендации
•
Вы можете скрыть общую папку из сетевого обзора, добавив символ $ в качестве последнего символа в сетевом имени. Пользователи не будут видеть эту папку при просмотре сети через инструмент Моё сетевое окружение (My network places) или проводник Windows, однако смогут подключать её как сетевой диск.
•
В Windows 2000 Professional предельное число пользователей, одновременно подключающихся к общей папке, не может превышать 10. При этом не имеет значения, какое число было указано в поле Не более (Allow).
•
Вы можете использовать оснастку Общие папки (Shared Folders) для создания общих папок, управления ими, просмотра списка всех подключённых к общей папке сетевых пользователей и отключения одного либо всех из них, а также для просмотра списка файлов, открытых удалёнными пользователями, и закрытия одного либо всех таких файлов. С помощью этой оснастки Вы также можете изменять разрешения для общих папок на удалённых компьютерах.
•
Разрешения на доступ к общей папке относятся ко всем файлам и подпапкам в данной общей папке и действуют только при доступе к этим файлам и папкам по сети. Разрешения на доступ к общей папке не защищают содержащиеся в ней файлы и папки от локального доступа. Для локальной защиты файлов и папок используйте разрешения NTFS, действие которых дополняет действие разрешений для общих папок. Более подробную информацию см. в разделе «Дополнительная информация».
Чтобы добавить принтер, подключённый к локальному компьютеру
1.
Подключите принтер к соответствующему порту на локальном компьютере, следуя документации изготовителя принтера, и убедитесь, что принтер готов к работе.
2.
Хотя большинство принтеров операционная система Windows обнаруживает и устанавливает автоматически, возможно Вам потребуется предоставить дополнительную информацию для успешного завершения установки.
3.
В папку Принтеры (Printers) будет добавлен значок принтера.
4.
Если не удаётся установить принтер, используя технологию Plug and Play, или если принтер подключён к компьютеру через последовательный (COM) порт, тогда выполните следующие действия. Откройте меню Пуск (Start), выберите команду Настройка (Settings), а затем – команду Принтеры (Printers).
5.
Для запуска мастера установки принтеров (Add Printer wizard) выполните двойной щелчок по ярлыку Установка принтера (Add printer), после чего нажмите кнопку Далее (Next).
6.
Click Local printer, and then click Next.
Выберите пункт Локальный принтер (Local printer) и нажмите кнопку Далее (Next).
7.
Для завершения установки принтера следуйте инструкциям на экране: выберите порт принтера, его изготовителя и модель и введите имя принтера.
Чтобы добавить принтер, непосредственно подсоединённый к сети
1.
Нажмите кнопку Пуск (Start), выберите команду Настройка (Settings), а затем – команду Принтеры (Printers).
2.
Для запуска мастера установки принтеров выполните двойной щелчок по ярлыку Установка принтера (Add printer), после чего нажмите кнопку Далее (Next).
3.
Выберите пункт Локальный принтер (Local printer), снимите флажок Автоматическое определение и установка принтера Plug and Play (Automatically detect and install my Plug and Play printer), после чего нажмите кнопку Далее (Next).
4.
Для завершения установки принтера следуйте инструкциям на экране: выберите порт принтера, его изготовителя и модель и введите имя принтера.
5.
Когда мастер установки принтеров предложит Вам выбрать порт принтера, выберите пункт Создать новый порт (Create a new port).
6.
Выберите соответствующий тип порта из списка и следуйте инструкциям (по умолчанию в списке отображаются только Local port (локальный порт) и Standard TCP/IP Port (стандартный порт TCP/IP)).
Чтобы установить или удалить разрешения для принтера
1.
Нажмите кнопку Пуск (Start), выберите команду Настройка (Settings), а затем – команду Принтеры (Printers).
2.
Щёлкните правой кнопкой мыши по принтеру, для которого Вы хотите установить разрешения, выберите пункт Свойства (Properties) и перейдите на вкладку Безопасность (Security).
Выполните одно из следующих действий.
•
Чтобы изменить или удалить разрешения у существующего пользователя или группы, щёлкните по имени этого пользователя или группы.
•
Чтобы установить разрешения для нового пользователя или группы, нажмите кнопку Добавить (Add). В списке Имя (Name) введите имя пользователя или группы, для которой Вы хотите установить разрешения, после чего нажмите кнопку Добавить (Add), а затем OK, чтобы закрыть диалоговое окно.
3.
В случае необходимости в области Разрешения (Permissions) для каждого вида разрешений установите флажок в столбце Разрешить (Allow) или Запретить (Deny). Для удаления пользователя или группы из списка разрешений нажмите кнопку Удалить (Remove).
Чтобы организовать общий доступ к принтеру
1.
Нажмите кнопку Пуск (Start), выберите команду Настройка (Settings), а затем – команду Принтеры (Printers).
2.
Щёлкните правой кнопкой мыши по принтеру, который Вы хотите сделать общим, и выберите пункт Общий доступ (Sharing).
3.
На вкладке Доступ (Sharing) выберите пункт Общий ресурс (Shared as) и введите сетевое имя для общего принтера.
Если Вы планируете использовать принтер совместно с пользователями, работающих на компьютерах с другим аппаратным обеспечением или с другими операционными системами, нажмите кнопку Дополнительные драйверы (Additional Drivers). Выберите платформу и операционную систему, используемые на других компьютерах, и нажмите кнопку OK для установки дополнительных драйверов.
Если Вы подключены к домену Windows 2000, то можете сделать принтер доступным другим пользователям домена, поставив флажок Перечислен в Папка (List in the Directory) для публикации принтера в каталоге Active Directory.
Нажмите кнопку OK или, если Вы устанавливали дополнительные драйвера, Закрыть (Close).
Советы по организации общего доступа к принтерам
•
По умолчанию при установке принтера в Windows 2000 Professional общий доступ к нему не предоставляется. В Windows 2000 Server общий доступ предоставляется по умолчанию при добавлении принтера.
•
Для просмотра или изменения базовых разрешений – Печать (Print), Управление принтерами (Manage Printers) и Управление документами (Manage Documents) – нажмите кнопку Дополнительно (Advanced).
•
Если Вы планируете предоставить общий доступ к принтеру клиентам, отличным от клиентов Windows 2000, Вам необходимо установить на сервере печати соответствующие драйверы принтера для этих клиентов. Когда пользователи, работающие на компьютерах под управлением Windows NT 4.0, Windows 95 или Windows 98, подключатся к принтеру, система автоматически загрузит на их компьютеры нужный драйвер.
Прежде чем организовать аудит, Вы должны продумать политику аудита. В политике аудита определяются категории событий, связанных с безопасностью, которые должны регистрироваться системой. По умолчанию после установки Windows 2000 аудит всех категорий событий отключён. Включая аудит различных категорий событий, Вы можете установить такую политику аудита, которая будет отвечать требованиям безопасности Вашей организации.
Если Вы хотите использовать в политике аудита слежение за доступом к объектам, включите политику Аудит доступа к службе каталогов (Audit directory service access) (для наблюдения за объектами на контроллере домена) или политику Аудит доступа к объектам (Audit object access) (для наблюдения за объектами на рядовом сервере). После включения аудита доступа к требуемому объекту Вы можете для каждого отдельного объекта указать в его свойствах, нужно ли вести аудит успехов или отказов применительно к разрешениям, предоставленным каждой группе или пользователю.
Чтобы установить аудит доступа к файлам и папкам
1.
Нажмите кнопку Пуск (Start), выберите Выполнить (Run), введите mmc /a, после чего нажмите кнопку OK.
2.
В меню Консоль (Console) выберите пункт Добавить/удалить оснастку (Add/Remove Snap-in), после чего нажмите кнопку Добавить (Add).
3.
В списке Доступные изолированные оснастки (Available Standalone Snap-ins) выберите оснастку Групповая политика (Group Policy) и нажмите кнопку Добавить (Add).
4.
В окне Выбор объекта групповой политики (Select Group Policy Object) выберите пункт Локальный компьютер (Local Computer), нажмите кнопки Готово (Finish), Закрыть (Close) и OK.
5.
Раскройте узел Политика “Локальный компьютер” (Local Computer Policy) и выберите пункт Политика аудита (Audit Policy).
6.
В области сведений щёлкните правой кнопкой мыши по элементу Аудит доступа к объектам (Audit Object Access), после чего выберите пункт Безопасность (Security).
7.
В окне Параметр локальной политики безопасности (Local Security Policy Setting) установите нужные Вам настройки, после чего нажмите кнопку OK.
Чтобы установить, просмотреть, изменить или удалить аудит доступа к файлам и папкам
1.
Откройте проводник Windows (Windows Explorer) и найдите файл или папку, для которой Вы хотите установить аудит.
2.
Щёлкните правой кнопкой мыши по этому файлу или папке, выберите пункт Свойства (Properties) и перейдите на вкладку Безопасность (Security).
3.
Нажмите кнопку Дополнительно (Advanced) и перейдите на вкладку Аудит (Auditing).
Выполните одно из следующих действий.
•
Чтобы установить аудит для новой группы или пользователя, нажмите кнопку Добавить (Add). В поле Имя (Name) введите имя нужного пользователя и нажмите кнопку OK – автоматически откроется диалоговое окно Элемент аудита (Auditing Entry).
•
Для просмотра или изменения параметров аудита для существующей группы или пользователя выберите требуемое имя и нажмите кнопку Показать/Изменить (View/Edit).
•
Чтобы удалить аудит для существующей группы или пользователя, выберите требуемое имя и нажмите кнопку Удалить (Remove).
Примечание.
•
В случае необходимости в диалоговом окне Элемент аудита (Auditing Entry) выберите область применения аудита из списка Применять (Apply onto). Этот список доступен только для папок.
•
В области Доступ (Access) для каждого вида доступа, который вы хотите отслеживать, установите флажок в столбце Успех (Successful) и/или Отказ (Failed).
Если Вы не хотите допустить наследования этих параметров аудита файлами и подпапками, установите флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера (Apply these auditing entries to objects and/or containers within this container only).
•
Прежде чем Windows 2000 начнёт регистрировать события доступа к файлам и папкам, Вы должны включить параметр Аудит доступа к объекту (Audit Object Access) в политике аудита (Audit Policy), используя для этого оснастку Групповая политика (Group Policy). Если Вы этого не сделаете, то при включении аудита доступа к файлам и папкам получите сообщение об ошибке и аудит выполняться не будет. После включения аудита в групповой политике просматривайте журнал безопасности через оснастку Просмотр событий (Event Viewer) для анализа журнала безопасности. В нём отслеживаются успешные и неудачные попытки доступа к тем файлам и папкам, для которых Вы установили аудит.
Советы и рекомендации
Поскольку размер журнала безопасности ограничен, Вы должны взвешенно подходить к вопросу выбора файлов и папок, для которых хотите установить аудит доступа. Вы также должны решить, какой объём места на диске Вы готовы выделить для журнала безопасности. Максимальный размер указывается в оснастке Просмотр событий (Event Viewer).
Чтобы просмотреть журнал безопасности
1.
Откройте оснастку Управление компьютером (Computer Management): нажмите кнопку Пуск (Start), выберите команду Настройка (Settings), а затем – команду Панель управления (Control Panel). Выполните двойной щелчок сначала по значку Администрирование (Administrative Tools), а затем по значку Управление компьютером (Computer Management).
2.
В дереве консоли раскройте узел Просмотр событий (Event Viewer). Выполните двойной щелчок по узлу Безопасность (Security) и в области сведений проанализируйте список событий аудита.
Советы и рекомендации по ведению аудита
Вы можете предпринять различные шаги по ведению аудита, чтобы минимизировать возможность нарушения безопасности. В следующей таблице представлены различные события, аудит которых Вы должны вести, а также соответствующие им угрозы безопасности, которые отслеживаются при помощи данных событий.
Событие аудита
Потенциальная угроза
Аудит отказов для событий входа/выхода из системы.
Взлом с использованием случайного пароля.
Аудит успехов для событий входа/выхода из системы
Несанкционированный вход с использованием украденного пароля.
Аудит успехов для событий управления правами пользователей, управления пользователями и группами, изменения политик безопасности, перезагрузки, выключения компьютера и системных событий.
Злоупотребление полномочиями.
Аудит успехов и отказов для событий доступа к файлам и объектам. Аудит успехов и отказов диспетчером файлов (File Manager) событий чтения/записи важных файлов подозрительными пользователями или группами.
Использование важных файлов в корыстных целях.
Аудит успехов и отказов для событий доступа к файлам, принтерам и объектам. Аудит успехов и отказов диспетчером печати (Print Manager) событий доступа на печать на принтерах подозрительными пользователями и группами.
Использование принтеров в корыстных целях.
Аудит успехов и отказов для событий доступа на запись к программным файлам (с расширениями .EXE и .DLL). Аудит успехов и отказов для событий отслеживания процессов. Запустите подозрительные программы и проанализируйте журнал безопасности на наличие непредвиденных попыток изменения программных файлов или создания непредусмотренных процессов. Запускайте этот аудит только если непосредственно наблюдаете за журналом безопасности.