Настройка и администрирование аудита требует выполнения следующих условий:
─ Необходимо иметь разрешение Manage Auditing And Security Log (Управление аудитом и журналом безопасности) для компьютера, на котором устанавливается политика аудита. По умолчанию Windows такие права присваивает группе Administrators (Администраторы).
─ Файлы и папки должны находиться на дисках NTFS (NT file system).
Для настройки политики аудита на компьютере необходимо создать консоль ММС и добавить к ней оснастку Group Policy (Групповая политика). В дереве консоли выбрать папку Audit Policy (Политика аудита) из узла Computer Configuration (Конфигурация компьютера). Консоль покажет текущие параметры политики аудита на правой панели.
Изменения, сделанные в политике аудита компьютера, вступят в силу, когда произойдет одно из следующих событий:
─ Будет инициализировано применение политики путем набора в командной строке secedit/Refresh Policy machine_policy и нажатием клавиши Enter;
─ Компьютер будет перезагружен. Windows применяет изменения, внесенные в политику аудита после перезагрузки компьютера;
─ Произойдет обновление политики – применение параметров политики, включая политики аудита к компьютеру. Автоматическое обновление политики происходит через равномерные настраиваемые интервалы, по умолчанию – каждые 8 часов.
Аудит доступа к файлам и папкам
Аудит для файлов и папок устанавливается на разделах NTFS. Необходимо для выбранного объекта открыть диалоговое окно свойств и на вкладке Security (Безопасность) щелкнуть кнопку Advanced (Дополнительно). Перейти на вкладку Auditing (Аудит) и задать параметры аудита для этого объекта. Для установки аудита на принтер необходимо открыть диалоговое окно свойств для интересующего принтера.
Программа Event Viewer
Event Viewer (Просмотр событий) позволяет просматривать журналы безопасности и проверять происшедшие события. По умолчанию можно просмотреть три журнала:
─ Журнал приложений (содержит ошибки, предупреждения программ);
─ Журнал безопасности (содержит информацию о событиях, определенных политикой аудита);
─ Журнал системы (содержит ошибки, предупреждения и информацию, генерируемые Windows).