Auditing
För att övervaka systemet, med vem som använder vad och om någon har misslyckats
med ett uppdrag kan man använda sig av auditing för att övervaka den processen.
En Auditing Policy för en domain bör innehålla:
- Spårning av misslyckade påloggningar.
- Ändringar i rättigheter i grupper och användare.
- Ändringar i säkerhetspolicys.
- Kontroll av felaktigt "otillbörligt" utnyttjande av resurser.
- Arkiv av gamla loggrar så att man kan följa en eventuell trend.
Auditing kan sättas upp på vilken NT Maskin som helst, men för att köra auditing
på filer och kataloger så måste man ha konverterat till NTFS. För att få
sätta upp en Auditing måste följande kriterier uppnås för dig som user.
- Medlem i administrators gruppen där du skall sätta auditing.
- Om man inte är medlem i Admin så måste man ha speciealrättigheten Manage auditing
and securitylog,
den sätts som default till administrators gruppen.
Planerande av en Auditpolicy.
Vad vill man övervaka då?
Språning av |
Skall köras audit på |
Otillbörlig påloggning |
Användares pålogging och avloggningar |
Otillbörlig utnyttjande av resurser |
Användandet av mappar och filresurser |
Systemuppdrag gjorda av en user |
Användandet av user rights |
Förändringar gjorda till users och grupper |
Användar- och grupphantering |
Förändringar till användarrättigheterna eller i audit policys |
Säkerhetspolicy förändringar |
Strulande med en server |
Omstart eller nedtagning av systemet |
Vilket program används av vem |
Process spårning |
Nu är det upp till dig som admin om du vill logga både lyckade och misslyckade
körningar.
|
- Högsäkerhetsnät
- Lyckade och Misslyckade användarpåloggningar.
- Lyckade och Misslyckade use of all resources.
- Lyckade och Misslyckade administrativa och säkerhetspolicy förändringar.
- Mediumsäkerhetsnät
- Lyckade användande av nyckelresurser.
- Lyckade användningar av känslig och konfidentiell data, typ lönefiler.
- Lyckade och Misslyckade administrativa och säkerhetspolicy förändringar.
- Lågsäkerhetsnät
- Lyckade användande av resurser.
- Lyckade användningar av känslig och konfidentiell data, typ lönefiler.
|
Förutom rena system händelser så kan man köra auditing på filer och kataloger, högerklick på mappen eller filen så kommer audit fram.
Granska filer och kataloger
Genom att granska filer och kataloger kan du följa upp hur de används. Du kan ange vilka
grupper, användare och åtgärder som ska granskas för en viss fil eller katalog. Du kan
granska både lyckade och misslyckade åtgärder. Windows NT lagrar informationen som
genereras när en fil granskas.
Så här granskar du en fil eller katalog:
- Markera filen eller katalogen i Filhanterarens fönster.
- Välj Granskning på Säkerhet-menyn.
- Om du anger granskning för en katalog kan du med två kryssrutor kontrollera hur
granskningsändringar påverkar befintliga filer och underkataloger.
- Ange granskningsalternativ för varje grupp eller användare i listan.
Markera namnet på en grupp eller användare och markera därefter händelsen
som ska granskas för den gruppen eller användaren.
- Välj OK.
Som default är kryssrutan Ersätt granskning på befintliga filer markerad.
Markera kryssrutorna Ersätt granskning för alla underkataloger och Ersätt granskning
på befintliga filer om du vill att granskningsändringar ska användas i katalogen och
dess filer, och i befintliga underkataloger och deras filer.
Granskning av Skrivare, som man kan se så är principen väldigt lika.
|
|
Använda Event Viewer för att titta på säkerhetsloggen .
Med Loggboken kan du övervaka händelser i systemet. Du kan visa och hantera
händelseloggar för System, Säkerhet och Program. Du kan också arkivera
händelseloggar. Händelseloggningen startar automatiskt när du kör
Windows NT. Du kan avbryta loggningen med verktyget Tjänster i Kontrollpanelen.
Detta fungerar som en databas, så man kan spara filer, filtrera, ta bort filer,
strunta i dubletter, kort sagt det finns massor av möjligheter att styra utsendet på
denna loggfil.
|
I dialogrutan Logginställningar kan du definiera den
maximala storleken på loggen och vad Windows NT ska göra när händelseloggen
är full.
- Största loggstorlek max 512 Kb. Skriv över händelser om det behövs är loggen full
skrivs de gamla över med de nya händelserna.
- Skriv över händelser äldre än [ ? ] dagar.
- Skriv aldrig över händelser (radera loggen manuellt).
|
Filter
I dialogrutan Filter kan du definiera datumintervall, händelsetyper, källa och
kategorier för händelser som visas för den aktuella loggen. De val du anger för
filtrering används under hela den aktuella sessionen i Loggboken. När du filtrerar visas
en bock intill Filtrera händelser på Visa-menyn och "(Filtrerad)" visas i
namnlisten.
|
Event viewer har 5 st symboler i sin logglista:
- Stopknappen = Fel
- Utropstecken = Varning
- I Tecknet = Information
- Nyckeln = Lyckad Auditing
- Låset = Misslyckad auditing
|
|
|
Skickande av administrativa signaler eller Alerts till användare i din domain, när
meddelandet skickats så kommer en dialogruta upp på den maskinen som skall
erhålla den administrativa signalen.
Skicka signaler när du skall:
- Utföra en backup på systemet.
- "Kasta ut" koppla från användare från systemet.
- Nertagning av en Server.
Man skriver bara in NetBIOS namnet till den maskin
som man vill skicka alerten till. Detta utföres i
Servermanager. |
|
|