при планировании политики аудита необходимо определить компьютеры, подлежащие аудиту, и события, которые требуется на них регистрировать. По умолчанию аудит выключен.
После определения подлежащих аудиту событий необходимо выбрать, какие события стоит регистрировать: успешные, неудачные или и те, и другие. Регистрация успешных событий покажет, как часто пользователи и операционная система обращаются к файлам, принтерам и другим объектам. Эта информация пригодится при планировании использования ресурсов. Регистрация неудачных событий выявит нарушения безопасности. Например, при обнаружении нескольких неудачных попыток доступа, особенно в нерабочее время, можно сделать вывод, что кто-то пытается проникнуть в систему.
Правила, которыми следует руководствоваться при настройке политики аудита:
• Определите, собираетесь ли вы контролировать тенденции использования системы. В этом случае надо архивировать журналы событий. Это позволит проследить изменение использования системных ресурсов во времени и нарастить их до того, как выявится их нехватка.
• Регулярно просматривайте журнал безопасности. Для этого составьте расписание и следуйте ему. Ведь одного аудита недостаточно Для обнаружения нарушений режима безопасности.
• Политика аудита должна быть полезна и управляема.Всегда выполняйте аудит уязвимых и конфиденциальных данных. Регистрируйте только те события, которые содержат существенную информацию.
• Настройте аудит доступа к ресурсам для группы Everyone, а не для группы Users.Таким образом, вы проведете аудит доступа, всех, кто подключается по сети, а не только пользователей, для которых созданы учетные записи. Настройте также аудит неудачных попыток доступа для группы Everyone.
• Настройте аудит всех действий администраторов. Это позволит выявить все дополнения или изменения, сделанные администратором.
рами.