Active Directory для Windows Server 2003


Аудит использования административных разрешений - часть 2


По умолчанию служба Active Directory Windows Server 2003 сконфигурирована для проведения аудита всех успешных действий по управлению учетными записями.

Разрешение аудита на уровне OU контроллера домена является первым шагом в предоставлении аудита. Это дает возможность сконфигурировать аудит для реальных объектов, расположенных в пределах данного домена. Чтобы разрешить аудит объекта Active Directory, обратитесь к окну Properties (Свойства) этого объекта через соответствующий инструмент Active Directory. Затем выберите вкладку Security (Безопасность), щелкните на Advanced (Дополнительно) и выберите вкладку Auditing (Аудит). На рисунке 9-10 показано окно инструмента Active Directory Users And Computers и заданная по умолчанию установка для аудита OU в Active Directory.

Рис. 9-10. Конфигурирование аудита объектов Active Directory

Чтобы добавить больше записей для аудита, щелкните на кнопке Add (Добавить) и выберите пользователей или группы, действия которых вы хотите контролировать. В большинстве случаев вы должны выбрать группу Everyone, чтобы модификации, сделанные любым пользователем, подвергались аудиту. Затем вы можете выбрать, какие действия вы хотите подвергать аудиту. Вы можете делать аудит всех модификаций, сделанных для любого объекта в контейнере, для определенного типа объектов или для определенных свойств объектов. Вы можете допустить аудит всех успешных модификаций, всех неудавшихся попыток модификации или оба варианта. Если вы включите аудит всех успешных модификаций, вы будете отслеживать все изменения, сделанные к каталогу. Если вы включите аудит неудавшихся попыток модификаций, вы сможете контролировать любые незаконные попытки изменить информацию каталога. Как только аудит включен, все контрольные события записываются в файле регистрации Security, доступном через инструмент Event Viewer (Средство просмотра событий).

Разрешение аудита делается просто. Управлять аудитом гораздо сложнее. Если вы разрешаете аудит всех модификаций каталога на уровне OU контроллера домена, то файл регистрации Security будет расти очень быстро. Почти все события будут законными изменениями, и не будут представлять для вас никакого интереса, кроме как отслеживание событий. Однако среди законных изменений может быть разбросано несколько изменений, о которых вы должны знать. Проблема состоит в том, чтобы среди большого количества обычных событий найти несколько интересных контрольных событий. В некоторых компаниях одному администратору каждый день поручают просмотр зарегистрированных событий. Наилучший способ справиться с этой проблемой состоит в том, чтобы создать некоторый автоматизированный способ анализа файлов регистрации событий. Другой путь состоит в использовании инструмента Microsoft Operations Manager (Менеджер операций) (отдельно продаваемый продукт) для фильтрации событий и вынесения предупреждений только в случае интересных событий.

Дополнительная информация. Если вы хотите больше узнать о продукте Microsoft Operations Manager (MOM), посетите веб-сайт http://www.microsoft.com/mom. MOM обеспечивает большое количество функциональных возможностей, которые выходят далеко за пределы проблемы контроля журналов безопасности.




Начало  Назад  Вперед



Книжный магазин