Как включить и применения аудита безопасности в Windows 2000

Переводы статьи Переводы статьи
Код статьи: 300549 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание
В данной статье относится к Windows 2000. Поддержка Windows 2000 заканчивается на 13 июля 2010 г. В Центр решений-технической поддержки Windows 2000 является отправной точкой для планирования стратегии перехода от Windows 2000. Для получения дополнительных сведений см. Политики поддержи продуктов Майкрософт.
Внимание
В данной статье относится к Windows 2000. Поддержка Windows 2000 заканчивается на 13 июля 2010 г. В Центр решений-технической поддержки Windows 2000 является отправной точкой для планирования стратегии перехода от Windows 2000. Для получения дополнительных сведений см. Политики поддержи продуктов Майкрософт.
Развернуть все | Свернуть все

В этой статье

Аннотация

Это пошаговые инструкции приведены подробные инструкции для включения и применения аудита безопасности Windows.

Включение аудита безопасности Windows

Очень важно, что защита данных и ресурсы от людей, которые не должны иметь доступ к ним и в то же время сделать эти ресурсы доступными для авторизованных пользователей. В данной статье описывается использование средства безопасности Windows 2000 для выполнения аудита доступа к ресурсам.

Можно настроить для записи сведений о событиях доступа или сервер каталогов и файлов журналов безопасности. Этот уровень аудита с помощью политик аудита в консоли управления (MMC). Эти события регистрируются в журнале безопасности Windows. Журнал безопасности заносятся события безопасности, такие как допустимые и недопустимые при входе в систему, а также события, связанные с использованием ресурсов, таких как создание, открытие или удаление файлов. Необходимо войти в систему как администратор может контролировать, какие события аудита и отображаются в журнале безопасности.

ВАЖНЫЕ: До Windows 2000 можно включить аудит доступа к файлам и папкам, необходимо использовать оснастку групповой политики включить аудит доступа К объектам в политике аудита. Если этого не сделать, то сообщение об ошибке при настройке аудита файлов и папок и файлы или папки, не подлежат аудиту. После включения аудита в групповой политике, просмотр журнала безопасности в средстве просмотра событий просмотрите успешные и неудачные попытки доступа к аудита файлов и папок.

Чтобы включить аудит локальной безопасности Windows:
  1. Войдите в систему Windows 2000 с учетной записью, имеющей права администратора. Если вы хотите предоставить другим пользователям права доступа для аудита, см. в разделе «Как для включения другой учетной записи для настройки аудита» в разделе «Ссылки» данной статьи.
  2. Убедитесь, что оснастка групповой политики установлен; Если не установлен, следуйте указаниям раздела «Как для установки групповой политики оснастка» в разделе «Ссылки» данной статьи, чтобы установить его.
  3. Нажмите кнопку Начало, выберите пункт Параметры, а затем нажмите кнопку Панель управления.
  4. Дважды щелкните значок Администрирование.
  5. Дважды щелкните значок Локальная политика безопасности Чтобы запустить оснастку консоли Управления локальные параметры безопасности.
  6. Дважды щелкните значок Локальные политики Чтобы развернуть его, а затем дважды щелкните Политика аудита.
  7. В правой области дважды щелкните политику, которую требуется включить или отключить.
  8. Нажмите кнопку Успех (аудит безопасности доступа попытка успешно) и Сбой (аудит безопасности доступа попытки не выполняется) Установите флажки для входа в систему и выхода. Например этот параметр успешная попытка пользователя войти в систему регистрируется как событие успешного аудита. Если пользователь пытается получить доступ к сетевому диску и завершается с ошибкой, попытка регистрируется как событие аудита отказов.
  9. При задании аудит для веб-сервера, на котором запущен Internet информации Microsoft Services (IIS) версии 5.0, см. раздел «Рекомендации для аудита на веб-сервере под управлением служб IIS 5.0 и Windows 2000» в разделе «Ссылки» данной статьи для получения списка предлагаемых аудитов.
ПРИМЕЧАНИЕ: Если вы являетесь членом домена, и определена политика уровня домена параметры уровня домена переопределяют локальные параметры.

Если Active Directory включена, администраторы могут отслеживать доступ к Active Directory, что успешные и «сбой» аудита попыток записи в журнал событий службы каталогов. Этот журнал присутствует только на контроллерах домена Windows 2000.

Включение аудита службы каталогов Active Directory:
  1. Войдите в Windows 2000 с учетной записью с правами администратора, если вы хотите дать права аудита увидят ниже разделе ссылок.
  2. Убедитесь, что установлена оснастка групповой политики, если он не установлен, следуйте инструкциям по установки перечисленных ниже в разделе
  3. Запускать в оснастке «Active Directory — пользователи и компьютеры», нажав кнопку Начало, указатель для программы, а затем выбрать Администрирование.
  4. На Представление меню, нажмите кнопку Дополнительные возможности.
  5. Щелкните правой кнопкой мыши Контроллеры домена контейнер, а затем нажмите кнопку Свойства.
  6. Нажмите кнопку Групповая политика Вкладка.
  7. Нажмите кнопку По умолчанию политика контроллеров домена, а затем нажмите кнопку Редактирование.
  8. Дважды щелкните следующие элементы для их открытия. Конфигурация компьютера, Параметры Windows, Параметры безопасностиЛокальный Политики, Политика аудита.
  9. В правой панели откройте Аудит доступа К службам каталогов.
  10. Выберите необходимые параметры: любой Аудит успешных попыток, Аудит неудачных попыток, или оба.
  11. При задании аудит для IIS 5.0 веб-сервера, см. раздел «Рекомендации для аудита на веб-сервере под управлением Windows 2000 И служб IIS 5.0» в разделе «Ссылки» данной статьи для получения списка предлагаемых аудитов.
ПРИМЕЧАНИЕ: В Windows 2000 контроллеры домена опроса для изменения политики каждые пять минут. Другие контроллеры домена предприятия получают изменения в этот интервал, а также время репликации.

ПРИМЕЧАНИЕ: Если флажки в группе Доступ В диалоговом окне Элемент аудита диалоговое окно затенены, или, если Удалить кнопка недоступна в Параметры управления доступом диалоговое окно, значит параметры аудита унаследованы от родительской папки. Поскольку размер журнала безопасности ограничен, выберите файлы и папки, которые требуется использовать для аудита. Также следует учесть объем дискового пространства, который следует отвести под хранение журнала безопасности. Максимальный размер задается в окне просмотра событий.

Аудит событий в Windows 2000 Server

Задание, просмотр, изменение или удаление Windows файл или папка аудита

Настройка аудита для обнаружения и записи о событиях, связанных с безопасностью, например, когда пользователь пытается получить доступ к защищенным файлам и папкам. После включения аудита объекта записи в журнал безопасности Windows 2000 при каждом получить доступ к объекту. Определить, какие объекты следует наблюдать, чьи действия отслеживать, и именно типы действий для аудита. После настройки аудита, можно следить за пользователей получить доступ к определенным объектам и анализировать недостатки системы безопасности. Аудит можно показать, кто выполнял действия и кто пытался выполнить действия, которые не разрешены.

Чтобы установить Аудит:
  1. Запустите проводник Windows (щелкните Начало, выберите пункт Программы, выберите пункт Аксессуары, а затем нажмите кнопку Проводник), а затем найдите файл или папку, в которой нужно провести аудит.
  2. Щелкните правой кнопкой мыши файл или папку, нажмите кнопку Свойства, а затем нажмите кнопку Безопасность Вкладка.
  3. Нажмите кнопку Дополнительно, а затем нажмите кнопку Аудит Вкладка.
  4. Выполните одно из следующих действий, как применимое.
    1. Чтобы установить аудит для новой группы или пользователя:
      1. Нажмите кнопку Добавить. В Имя поле, введите имя пользователя, которого нужно провести аудит.
      2. Нажмите кнопку ОК Чтобы автоматически открыть Элемент аудита диалоговое окно.
    2. Чтобы просмотреть или изменить параметры аудита для имеющейся группы или пользователя, выберите имя и нажмите кнопку Просмотр и изменение.
    3. Чтобы отменить аудит для имеющейся группы или пользователя, выберите имя и нажмите кнопку Удалить.
  5. В группе Доступ, нажмите кнопку Успешно, Не удалось, или оба Успешно и Не удалось, в зависимости от типа доступа для аудита.
  6. Если необходимо, чтобы файлы и вложенные папки в дереве наследование этих элементов аудита, нажмите кнопку для выбора Применять этот аудит флажок.

Аудит для обнаружения несанкционированного доступа

В журнале безопасности Windows может обнаружить попытки несанкционированного доступа, эти попытки может отображаться в виде записи журнала ошибок или предупреждений. Также можно архивировать эти журналы для последующего использования.

Для выявления проблем безопасности, просмотрев журнал безопасности Windows:
  1. Нажмите кнопку Начало, выберите пункт Параметры, а затем нажмите кнопку Панель управления.
  2. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Управление компьютером.
  3. Разверните узел Служебные, а затем разверните узел Средство просмотра событий.
  4. Нажмите кнопку Журнал безопасности.

    ПРИМЕЧАНИЕ: Если вы не могут просматривать журнал безопасности, учетной записи пользователя с помощью не имеет полномочий для этого. Эта проблема возникает, если политики безопасности на уровне домена переопределяют политики локального компьютера на уровне безопасности, которые означает, что может быть вход в систему как администратор локального компьютера, но не имеют доступа к журналу безопасности компьютера. Для получения разрешений обратитесь к администратору сети. Для получения дополнительных сведений о политиках безопасности обратитесь к документации Windows.
  5. Проверьте журналы событий подозрительных безопасности, включая следующие события:
    • Неудачных попыток входа.
    • Неудачных использование привилегий.
    • Unsuccessful пытается получить доступ и изменение .bat или .cmd файлов.
    • Предпринимается попытка изменить привилегии безопасности и журнал аудита.
    • Пытается завершить работу сервера.

Работа с журналами безопасности Windows

Как архивировать журнал безопасности Windows

Чтобы архивировать журнал безопасности Windows:
  1. Нажмите кнопку Начало, выберите пункт Параметры, а затем нажмите кнопку Панель управления.
  2. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Управление компьютером.
  3. Разверните узел Служебные, а затем разверните узел Средство просмотра событий.
  4. Нажмите кнопку Безопасность.
  5. На Действие меню, нажмите кнопку Сохранить файл журнала как.
  6. В Сохранить как диалоговое окно, выберите папку для сохранения файла и введите имя для файла.
ПРИМЕЧАНИЕ: Журнал безопасности можно сохранить как файл событий (.evt), текстовый файл (.txt) или файл с разделителями запятыми (.csv).

Как открыть журнал безопасности Windows архив

Чтобы открыть сохраненный журнал безопасности Windows:
  1. Нажмите кнопку Начало, выберите пункт Параметры, а затем нажмите кнопку Панель управления.
  2. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Управление компьютером.
  3. Разверните узел Служебные, а затем разверните узел Средство просмотра событий.
  4. На Журнал меню, нажмите кнопку Безопасность.
  5. На Действие Выберите пункт Открытие файла журнала.
  6. В Открыть диалоговое окно поле, выберите предварительно сохраненный журнал или изменить расположение в Искать в список и найдите файл.
  7. В Тип журнала Выберите Безопасность.
  8. Нажмите кнопку ОК Чтобы открыть файл в средстве просмотра.

Устранение неполадок

Поскольку размер журнала безопасности ограничен, выберите файлы и папки, которые требуется использовать для аудита. Также следует учесть объем дискового пространства, который следует отвести под хранение журнала безопасности. Максимальный размер задается в окне просмотра событий.

ВАЖНЫЕ: До Windows 2000 можно включить аудит доступа к файлам и папкам, необходимо использовать оснастку групповой политики включить аудит доступа К объектам в политике аудита. Если этого не сделать, то сообщение об ошибке при настройке аудита файлов и папок и файлы или папки, не подлежат аудиту. После включения аудита в групповой политике, просмотр журнала безопасности в средстве просмотра событий просмотрите успешные и неудачные попытки доступа к аудита файлов и папок.




Ссылки

Установка оснастки групповой политики

Чтобы использовать средства аудита, описываемые в этой статье, необходимо установить оснастку групповой политики. Эта оснастка не включено в консоли управления компьютером, и необходимо создать новую консоль оснастки групповой политики. Для получения дополнительных сведений о добавлении оснастки MMC обратитесь к документации Windows 2000.

Создание новой консоли MMC и добавьте оснастку групповой политики:
  1. Нажмите кнопку Начало, а затем нажмите кнопку Запустить. В Запустить диалоговое окно, тип MMC Чтобы начать новую консоль MMC.
  2. В Консоль меню, нажмите кнопку Добавление и удаление оснастки.
  3. В Добавление и удаление оснастки диалоговое окно, нажмите кнопку Добавить.
  4. В Добавить изолированную оснастку диалоговое окно, нажмите кнопку Групповая политика из списка доступных которые запускаются оснастки нажмите кнопку Добавить.
  5. В Выбор объекта групповой политики диалоговое окно, щелкнуть Окончание для проведения аудита локального компьютера или Обзор Чтобы найти компьютер, подлежащий аудиту.
  6. Если была нажата кнопка Обзор, перейдите к шагу 7. Если была нажата кнопка Окончание, перейдите к шагу 9.
  7. В Поиск объекта групповой политики диалоговое окно, нажмите кнопку Компьютеры Щелкните Другой компьютер, перейдите на компьютер, для аудита, а затем нажмите кнопку ОК.
  8. В Выбор объекта групповой политики диалоговое окно, нажмите кнопку Окончание.
  9. Закрыть Добавить изолированную оснастку диалоговое окно.
  10. Нажмите кнопку ОК.
  11. В Консоль Выберите пункт Сохранить Чтобы сохранить новую консоль на жесткий диск. Это консоли, который будет использоваться для настройки средства аудита.

Как включить другую учетную запись для настройки аудита

По умолчанию только члены группы «Администраторы» имеют привилегий для настройки аудита. Можно делегировать задачи настройки аудита событий сервера на другую учетную запись пользователя, предоставляя право управление аудитом и журналом безопасности в групповой политике.

Чтобы включить учетную запись для настройки аудита:
  1. В консоли групповой политики, созданный раскройте следующие меню в следующем порядке:
    1. Конфигурация компьютера
    2. Параметры Windows
    3. Параметры безопасности
    4. Локальные политики
    5. Назначение прав пользователя
  2. Нажмите кнопку Управление журналом аудита и безопасности, нажмите кнопку Действие, а затем нажмите кнопку Безопасность.
  3. В Управление аудитом и журналом безопасности диалоговое окно, нажмите кнопку Добавить.

    ПРИМЕЧАНИЕ: Если Добавить кнопка недоступна (отображается серым цветом), снимите флажок Исключить из локальной политики флажок для активации Добавить Нажатие кнопки.
  4. Выберите пользователя или группу пользователей из списка и нажмите кнопку Добавить. Нажмите кнопку ОК.

Рекомендации по аудиту на веб-серверах Windows 2000 IIS 5.0

Для компьютера под управлением Windows 2000 Server, на котором выполняется IIS 5.0 следует проверить с помощью следующих событий Windows. «Аудит успешных попыток» означает, что вы заинтересованы в успешных событий и «Аудит неудачных попыток» означает, что вы заинтересованы в сбои при выполнении этого события. «При» означает, что событие является, подлежащих аудиту, в то время как «off» означает, что событие является не производится.

Ниже приведены предложения аудита для различных событий на компьютере под управлением Windows 2000, который является веб-сервер IIS.
  • Учетная запись входа в систему
    Аудит успешных попыток: Д.

    Аудит неудачных попыток: Д.
  • Управление учетными записями
    Аудит успешных попыток: отключение

    Аудит неудачных попыток: Д.
  • Доступ К службе каталогов
    Аудит успешных попыток: отключение

    Аудит неудачных попыток: Д.
  • Вход в систему
    Аудит успешных попыток: Д.

    Аудит неудачных попыток: Д.
  • Доступ К объекту
    Аудит успешных попыток: отключение

    Аудит неудачных попыток: ОТКЛЮЧЕНИЕ
  • Изменение политики
    Аудит успешных попыток: Д.

    Аудит неудачных попыток: Д.
  • Использование прав
    Аудит успешных попыток: ОТКЛЮЧЕНИЕ

    Аудит неудачных попыток: Д.
  • Отслеживание процессов
    Аудит успешных попыток: ОТКЛЮЧЕНИЕ

    Аудит неудачных попыток: ОТКЛЮЧЕНИЕ
  • Система
    Аудит успешных попыток: ОТКЛЮЧЕНИЕ

    Аудит неудачных попыток: ОТКЛЮЧЕНИЕ

Свойства

Код статьи: 300549 - Последний отзыв: 5 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbhowto kbhowtomaster kbperformance w2000perf kbmt KB300549 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:300549

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com