При формировании политик аудита в

При формировании политик аудита в компьютерной системе кроме событий, фиксируемых СЗИ автоматически, рекомендуется настроить регистрацию следующих категорий событий:

• регистрация пользователей в ОС Windows NT;

• изменения в политике безопасности Windows NT.

Аудит указанных событий, а также событий, связанных с доступом к защищаемым ресурсам (при наличии достаточных для этого оснований), необходимо производить с использованием стандартных средств регистрации Windows NT. Разработчики СЗИ "Страж NT" не рекомендуют регистрировать события, связанные с применениями привилегий пользователей, так как это будет приводить к быстрому переполнению журнала. По умолчанию в ОС Windows NT регистрация всех категорий событий отключена. Чтобы включить ее, необходимо сделать соответствующие изменения в настройках локальной политики безопасности в разделе "Политика аудита" (Панель управления. Администрирование. Локальная политика безопасности. Локальные политики. Политика аудита).

Как уже было сказано, аудит событий доступа к защищаемым ресурсам должен производиться только при наличии обоснованных подозрений в злоупотреблении полномочиями. Кроме того, в связи с особенностями реализации защитных механизмов в СЗИ "Страж NT", регистрация событий отказа в доступе к ресурсам будет приводить к появлению в журнале большого количества посторонних записей. Поэтому можно рекомендовать устанавливать аудит лишь для событий успешного доступа к ресурсам.

следующая