Auditing

För att övervaka systemet, med vem som använder vad och om någon har misslyckats med ett uppdrag kan man använda sig av auditing för att övervaka den processen.

En Auditing Policy för en domain bör innehålla:

  • Spårning av misslyckade påloggningar.
  • Ändringar i rättigheter i grupper och användare.
  • Ändringar i säkerhetspolicys.
  • Kontroll av felaktigt "otillbörligt" utnyttjande av resurser.
  • Arkiv av gamla loggrar så att man kan följa en eventuell trend.

Auditing kan sättas upp på vilken NT Maskin som helst, men för att köra auditing på filer och kataloger så  måste man ha konverterat till NTFS. För att få sätta upp en Auditing måste följande kriterier uppnås för dig som user.

  1. Medlem i administrators gruppen där du skall sätta auditing.
  2. Om man inte är medlem i Admin så måste man ha speciealrättigheten Manage auditing and securitylog,
    den sätts som default till administrators gruppen.

Planerande av en Auditpolicy.

Vad vill man övervaka då?

Språning av Skall köras audit på
Otillbörlig påloggning Användares pålogging och avloggningar
Otillbörlig utnyttjande av resurser Användandet av mappar och filresurser
Systemuppdrag gjorda av en user Användandet av user rights
Förändringar gjorda till users och grupper Användar- och grupphantering
Förändringar till användarrättigheterna eller i audit policys Säkerhetspolicy förändringar
Strulande med en server Omstart eller nedtagning av systemet
Vilket program används av vem Process spårning

Nu är det upp till dig som admin om du vill logga både lyckade och misslyckade körningar.

audit3.jpg (32372 bytes)
  • Högsäkerhetsnät
  • Lyckade och Misslyckade användarpåloggningar.
  • Lyckade och Misslyckade use of all resources.
  • Lyckade och Misslyckade administrativa och säkerhetspolicy förändringar.
     
  • Mediumsäkerhetsnät
  • Lyckade användande av nyckelresurser.
  • Lyckade användningar av känslig och konfidentiell data, typ lönefiler.
  • Lyckade och Misslyckade administrativa och säkerhetspolicy förändringar.
     
  • Lågsäkerhetsnät
  • Lyckade användande av  resurser.
  • Lyckade användningar av känslig och konfidentiell data, typ lönefiler.

Förutom rena system händelser så kan man köra auditing på filer och kataloger, högerklick på mappen eller filen så kommer audit fram.

Granska filer och kataloger
Genom att granska filer och kataloger kan du följa upp hur de används. Du kan ange vilka grupper, användare och åtgärder som ska granskas för en viss fil eller katalog. Du kan granska både lyckade och misslyckade åtgärder. Windows NT lagrar informationen som genereras när en fil granskas.
Så här granskar du en fil eller katalog:
  1. Markera filen eller katalogen i Filhanterarens fönster.
  2. Välj Granskning på Säkerhet-menyn.
  3. Om du anger granskning för en katalog kan du med två kryssrutor kontrollera hur
    granskningsändringar påverkar befintliga filer och underkataloger.
  4. Ange granskningsalternativ för varje grupp eller användare i listan.
    Markera namnet på en grupp eller användare och markera därefter händelsen
    som ska granskas för den gruppen eller användaren. 
  5. Välj OK.

Som default är kryssrutan Ersätt granskning på befintliga filer markerad.
Markera kryssrutorna Ersätt granskning för alla underkataloger och Ersätt granskning på befintliga filer om du vill att granskningsändringar ska användas i katalogen och dess filer, och i befintliga underkataloger och deras filer.

Granskning av Skrivare, som man kan se så är principen väldigt lika.

auditprint.jpg (27903 bytes)

 audit2.jpg (31098 bytes)

Använda Event Viewer för att titta på säkerhetsloggen .
Med Loggboken kan du övervaka händelser i systemet. Du kan visa och hantera händelseloggar för System, Säkerhet och Program. Du kan också arkivera händelseloggar. Händelseloggningen startar automatiskt när du kör Windows NT. Du kan avbryta loggningen med verktyget Tjänster i Kontrollpanelen. Detta fungerar som en databas, så man kan spara filer, filtrera, ta bort filer, strunta i dubletter, kort sagt det finns massor av möjligheter att styra utsendet på denna loggfil.

audit5.jpg (29384 bytes) I dialogrutan Logginställningar kan du definiera den maximala storleken på loggen och vad Windows NT ska göra när händelseloggen är full.
  • Största loggstorlek max 512 Kb. Skriv över händelser om det behövs är loggen full skrivs de gamla över med de nya händelserna.
  • Skriv över händelser äldre än [ ? ] dagar.
  • Skriv aldrig över händelser (radera loggen manuellt).
Filter

I dialogrutan Filter kan du definiera datumintervall, händelsetyper, källa och kategorier för händelser som visas för den aktuella loggen. De val du anger för filtrering används under hela den aktuella sessionen i Loggboken. När du filtrerar visas en bock intill Filtrera händelser på Visa-menyn och "(Filtrerad)" visas i namnlisten.
audit4.jpg (60184 bytes)
Event viewer har 5 st symboler i sin logglista:
  1. Stopknappen = Fel
  2. Utropstecken = Varning
  3. I Tecknet = Information
  4. Nyckeln = Lyckad Auditing
  5. Låset = Misslyckad auditing
audit6.jpg (36349 bytes)

Skickande av administrativa signaler eller Alerts till användare i din domain, när meddelandet skickats så  kommer en dialogruta upp på den maskinen som skall erhålla den administrativa signalen.

Skicka signaler när du skall:
  1. Utföra en backup på systemet.
  2. "Kasta ut" koppla från användare från systemet.
  3. Nertagning av en Server.

Man skriver bara in NetBIOS namnet till den maskin
som man vill skicka alerten till. Detta utföres i
Servermanager.

alert.jpg (17404 bytes)