Читайте также:
|
Если аудит не был включен ранее в групповой политике, то его нужно включить перед настройкой аудита ключей реестра. Для этого надо открыть локальную политику при помощи «Пуск» - «Выполнить» - gpedit.msc. Откроется окно, показанное на рисунке 5.
Дерево папок следующее: «Конфигурация компьютера» - «Конфигурация Windows» - «Параметры безопасности» - «Локальные политики» - «Политика аудита». В свойствах параметра «Аудит доступа к объектам» поставить галку у пункта «Успех». У параметра «Аудит доступа к объектам» в графе «Локальный параметр» появится значение «Успех», но политика еще не распространена и не действует. Чтобы применить измененную политику безопасности надо открыть командную строку (Пуск - Выполнить - cmd) и выполнить команду утилиту GPUpdate.
Инструмент GPUpdaie входит в Windows 2003 и заменяет параметр /refreshpolicy команды secedit командной строки Windows 2000 Server. При запуске этого инструмента происходит обновление параметров политики компьютера или политики пользователя, причем это касается как локальных политик, так и групповых политик, сохраненных в Active Directory, в том числе и параметров безопасности. Этот инструмент устраняет необходимость выполнения перезагрузки или выхода/входа в систему пользователем доя немедленного обновления политик. Синтаксис команды следующий.
Gpupdate [/target:{computer | user}] [/force] [/wait:значение] [/logoff] [/boot]
Рисунок 5. Аудит групповой политики.
После этого можно закрыть окно «Групповая политика», показанное на рисунке 5 и открыть его вновь. Если политика успешно применена, то напротив параметра «Аудит доступа к объектам» в графе «Действующий параметр» будет написано то же, что и в графе «Локальный параметр».
Для настроки аудита конкретного ключа в реестре, например, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run надо после открытия редактора реестра regedt32 или regedit, по дереву реестра дойти до ключа, аудит которого необходимо настроить. Выделить его. В меню «Безопасность» редактора реестра выбрать кнопку «Дополнительно» и переключиться на вкладку «Аудит». Ее внешний вид показан на рисунке 6. Нажать кнопку «Добавить» и выбрать группу «Все» двойным кликом. В открывшемся окне отметить галками только те пункты, которые соответствуют интересующим событиям. К примеру, «Аудит только на успешное задание значения». Подтвердить изменения. Аудит настроен. Чтобы проверить его работу можно создать и выполнить текстовый файл под именем test.reg со следующим содержанием:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"test"=""
Если все сделано правильно, то будет выдан запрос на добавление данных в реестр. При положительном ответе будет выдано подтверждение о том, что информация успешно добавлена. В консоли «Управление компьютером» на вкладке «Безопасность» локального компьютера можно посмотреть регистрируемые события. Таким образом, можно настроить аудит на любые события и анализировать их при помощи журнала безопасности системы «Управление компьютером» - «Просмотр событий» - «Безопасность».
Рис. 6. Настройка аудита ключа реестра.
Для настройки прав доступа надо открыть редактор реестра и выделить ключ, разрешения на который планируется настроить. При работе необходимо помнить о том, что разрешения наследуются, т.е. разрешения, заданные для раздела, будут распространены вниз, на подразделы и параметры. Для вышеописанного примера вместо вкладки «Аудит» выбрать вкладку «Разрешения» (рисунок 7), выбрать какого-либо пользователя и нажать кнопку «Показать/Изменить», установить необходимые разрешения/запреты, например запрет на добавление ключа. Для проверки запустить файл test.reg. Будет выдан запрос на добавление информации. После положительного ответа на этот запрос будет выдано сообщение, показанное на рисунке 8. Таким образом, настроенный запрет на добавление информации в определенный ключ реестра работает. Теперь необходимо пояснить смысл полномочий доступа к ключам реестра, которые показаны на рисунке 7:
Query Value (Запрос значения) - пользователь может запрашивать значения параметров в реестре (для этого он должен указать полный путь к интересующему параметру).
Set Value (Задание значения) - Пользователь может создавать новые параметры в разделе или изменять их значения.
Create Subkey (Создание подраздела) - Пользователь может создавать новые подразделы в заданном разделе.
Рисунок 7. Настройка прав доступа ключа реестра.
Рисунок 8. Отказ в добавлении информации.
Enumerate Subkeys (Перечисление подразделов) - Пользователь может получить список всех подразделов определенного раздела.
Notify (Уведомление) - Пользователь может регистрировать функцию обратного вызова (callback), запускаемую при изменении выбранных параметров.
Create Link (Создание связи) - Пользователь может создавать связи с нужными разделами реестра.
Delete (Удаление) - Пользователь может удалять параметры или разделы.
Write DAC (Запись DAC) - Пользователь может перезаписать настройки доступа для заданного раздела реестра.
Write Owner (Смена владельца) - Пользователь может стать владельцем заданного раздела реестра.
Read Control (Чтение разрешений) - Пользователь может читать список разрешений доступа для заданного раздела реестра.
Дата добавления: 2015-10-02; просмотров: 78 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Структура reg-файлов | | | Управление автозагрузкой |