Jak cię złapią, to znaczy, że oszukiwałeś. Jak nie, to znaczy, że posłużyłeś się odpowiednią taktyką.
Przeprowadź inspekcję dostępu do usługi Użytkownik uzyskuje dostęp do obiektów usługi katalogowej Active Directory. Aby zdarzenie zostało zarejestrowane, należy wskazać, które obiekty mają być inspekcjonowane. Zasada wykorzystywana na kontrolerze domeny. Przeprowadź inspekcję zdarzeń logowania Zapisywane jest każde zdarzenie logowania. Logowanie lokalne na komputerze lub przez sieć. Zdarzenie zapisywane jest na komputerze, do którego użytkownik uzyskiwał dostęp. Przeprowadź inspekcję dostępu do obiektów Użytkownik uzyskuje dostęp do pliku, folderu lub drukarki. Aby zdarzenie było rejestrowane, administrator musi ustalić, które obiekty będą inspekcjonowane. Przeprowadź inspekcję zmian zasad Zdarzenie następuje, gdy zostaje zmieniona opcja zabezpieczeń, czyli jedno z ustawień zasad bezpieczeństwa dotyczące zasad konta, ustawień logowania, praw użytkownika lub zasad inspekcji. Przeprowadź inspekcję użycia uprawnień Użytkownik wykorzystał swoje prawa takie jak zmiana czasu systemowego lub przejęcie przez administratora pliku na własność. Przeprowadź inspekcję śledzenia procesów Szczegółowe śledzenie procesów wywoływanych przez aplikacje. Użyteczne dla programistów rejestrujących poszczególne etapy działania aplikacji. Przeprowadź inspekcję zdarzeń systemowych Zachodzi zdarzenie mające wpływ na pracę systemu. Ustawienie to obejmuje takie zdarzenia jak: uruchomienie lub zamknięcie systemu, przepełnienie dziennika zabezpieczeń. Planowanie zasad inspekcji Podczas ustawiania zasad inspekcji należy pamiętać o ich właściwym zaplanowaniu, ponieważ zbyt duża ilość zdarzeń podlegających inspekcji może powodować szybkie przepełnianie dziennika zabezpieczeń oraz niepotrzebne obciążenie komputera. Inspekcję trzeba planować tak, by obejmowała wyłącznie te zdarzenia, które zapewnią informacje przydatne w analizie zabezpieczeń oraz dostępu do zasobów. Przy planowaniu inspekcji weź pod uwagę poniższe wskazówki: • Należy określić komputery, na których będzie prowadzona inspekcja. Zwykle nie wszystkie komputery wymagają inspekcji, której powinny podlegać tylko komputery, których bezpieczeństwo jest szczególnie ważne lub dysponują zasobami, które powinny podlegać inspekcji np. kolorowa drukarka laserowa, której eksploatacja jest kosztowna. • Określić typy zdarzeń podlegające inspekcji. Najczęściej tylko wybrane zasady inspekcji są uruchamiane i nie ma potrzeby włączania wszystkich. Rozdział 10 ♦ Tworzenie i wdrażanie zasad bezpieczeństwa 140 • Określić, czy śledzone będą działania zakończone sukcesem czy niepowodzeniem. System Windows XP dzieli zdarzenia na udane i nieudane. W większości sytuacji wystarczy śledzić tylko jeden typ działania. Na przykład, gdy chcemy wiedzieć, czy ktoś próbuje się włamywać do komputera, należy włączyć zasadę Przeprowadź inspekcję zdarzeń logowania na kontach dla niepowodzeń, co spowoduje rejestracje wyłącznie nieudanych prób logowania. • Ustalić harmonogram pracy z dziennikami zabezpieczeń. Powinien on wyznaczać czas archiwizacji dzienników, systematyczne przeglądanie ich zawartości. Uruchamianie zasad inspekcji Po zaplanowaniu zasad inspekcji należy je wdrożyć na wybranych komputerach. Aby to zrobić, należy wykonać następujące czynności: 1. Uruchom konsolę Zasady zabezpieczeń lokalnych. 2. W drzewie konsoli rozwiń gałąź Zasady lokalne następnie kliknij Zasady inspekcji. 3. W oknie szczegółów kliknij dwukrotnie zasadę, którą chcesz skonfigurować. 4. W oknie Właściwości zaznacz odpowiednie pola wyboru Sukces – by rejestrować zdarzenia zakończone sukcesem, Niepowodzenie – w przeciwnym przypadku lub oba, gdy chcesz rejestrować sukcesy i niepowodzenia. Rysunek 12.1. Właściwości zasady inspekcji 5. Kliknij OK, aby zatwierdzić. Zasady Przeprowadź inspekcję dostępu do usługi katalogowej oraz Przeprowadź inspekcję dostępu do obiektów, aby zaczęły funkcjonować prawidłowo, wymagają wskazania obiektów, które będą podlegały inspekcji. Pierwsza z wymienionych zasad dotyczy usługi Active Directory, a jej obsługa wykracza po za tematykę tej książki, natomiast druga dotyczy inspekcji dostępu do zasobów. W ramach inspekcji dostępu do zasobów system Windows XP rejestruje zdarzenia dotyczące systemu plików oraz drukarek. Jedynym systemem plików, który obsługuje inspekcję jest NTFS, tylko pliki i foldery znajdujące się na partycji NTFS mogą podlegać inspekcji. Aby uruchomić inspekcję pliku lub folderu, należy włączyć zasadę Przeprowadź inspekcję dostępu do obiektów, by rejestrowała sukcesy i (lub) niepowodzenia następnie należy wybrać obiekty, których będzie dotyczyła inspekcja. By to zrobić wykonaj następujące czynności: 1. Prawym przyciskiem myszy kliknij na folder lub plik. 2. Z menu podręcznego wybierz Właściwości. 3. Wybierz kartę Zabezpieczenia. 4. Kliknij przycisk Zaawansowane. 5. W oknie Zaawansowane ustawienia zabezpieczeń dla wybierz kartę Inspekcja. 6. Kliknij przycisk Dodaj… 141 ABC Systemu Windows XP 7. W oknie Wybieranie wybierz użytkownika lub grupę, których działania będą rejestrowane i kliknij OK. 8. W oknie Wpisz inspekcji dla wybierz, jakie działania użytkownika lub grupy będą inspekcjonowane. Rysunek 12.2. Ustawienia wpisu inspekcji 9. Kliknij przycisk OK trzykrotnie. Definiowanie inspekcji dostępu do drukarek wygląda podobnie, również należy wykonać powyższe kroki, rozpoczynając od wyświetlenia okna Właściwości drukarki. Jedyna różnica polega na tym, iż inne są operacje, jakie można rejestrować. Konfiguracja opcji logowania
|
Wątki
|