Audit MS Windows
Události související s bezpečností operačního systému se zaznamenávají do bezpečnostního logu. Kromě něj existuje ještě aplikační log, do kterého zaznamenávají události některé ze spuštěných aplikací, a systémový log, který využívá samotný operační systém - například k zápisu informací o průběhu svého spouštění, zavádění ovladačů a spouštění služeb. Další logy se vytvářejí v závislosti na roli, jakou počítač v síti plní. Vlastní logy tak má adresářová služba, DNS server a služba replikace souborů. Prohlížet obsah log souborů a konfigurovat jejich vlastnosti umožňuje nástroj Event Viewer.
Obr.: Audit se zapíná v nástroji administrátora Local Security Settings.
Event Description
Account logon events |
Řadič obdržel požadavek na ověření uživatelského účtu. |
Account management |
Administrátor vytvořil, změnil nebo smazal uživatelský účet nebo skupinu. Byl přejmenován, vypnut nebo zapnut uživatelský účet, nebo došlo k nastavení a změně hesla. |
Directory service access |
Uživatel získal přístup k objektu aktivního adresáře. K vygenerování záznamu je ještě třeba nastavit audit u konkrétního objektu v aktivním adresáři. |
Logon events |
Přihlášení a odhlášení uživatele, vytvoření a zrušení síťového spojení. |
Object access |
Uživatel přistupuje k souboru, adresáři nebo tiskárně. K vygenerování záznamu je ještě třeba nastavit audit u konkrétního objektu (modifikovat systémový ACL). |
Policy change |
Došlo ke změně v uživatelských právech nebo v politice auditu. |
Privilege use |
Uživatel použil některé z uživatelských práv, například změnil systémový čas. |
Process tracking |
Program provedl nějakou akci. |
System |
Došlo k restartování nebo vypnutí počítače nebo nastala událost, která ovlivnila bezpečnost Windows 2000. |
Pokud chceme sledovat přístup k objektům, jako jsou soubory, adresáře, tiskárny a klíče registru, musí být nejprve povolena politika Audit object access. To ale nestačí, ještě je třeba upravit SACL (System Acces Control List). Například u adresáře a souboru stačí kliknout pravým tlačítkem myši a zvolit Properties – panel Security – tlačítko Advanced – panel Auditing. Soubory a adresáře lze sledovat jen tehdy, pokud se nachází na NTFS disku, protože FAT disky audit nepodporují. Audit tiskárny se nastavuje podobně jako u souboru či adresáře, audit klíčů registru se nastavuje pomocí nástroje pro editaci registru regedt32.exe. Úpravu SACL typicky provádí administrátor, přičemž určí uživatele a skupiny, jejichž přístup k objektu chce sledovat; spolu s typem přístupu, který ho zajímá.