2015-02-27
291
В этом упражнении вы настроите ведение аудита для созданной папки. Разрешения будут заданы таким образом, чтобы сымитировать попытку несанкционированного доступа пользователя к ресурсу.
1. На рабочем столе создайте папку с именем Data.
2. Щелкните папку правой кнопкой и выберите Свойства (Properties).
3. Перейдите на вкладку Безопасность (Security), затем щелкните свою учетную запись.
4. Установите флажок Запретить (Deny) напротив разрешения Полный доступ (Full Control) для вашей учетной записи пользователя, затем щелкните Да (Yes) в окне предупреждения.
5. Щелкните кнопку Дополнительно (Advanced) и в открывшемся окне перейдите на вкладку Аудит (Auditing). Добавьте свою учетную запись пользователя в список аудита Содержание папки/Чтение данных (List Folder / Read Data) для регистрации отказов, затем щелкните ОК, чтобы закрыть все окна свойств.
6. Дважды щелкните папку Data, чтобы открыть ее. Вы должны получить предупреждение Отказано в доступе (Access Denied).
Упражнение 3. Чтение журнала безопасности
В этом упражнении вы проверите, что аудит отказа доступа к папке Data работает.
|
|
|
1. Откройте консоль Управление компьютером (Computer Management) из группы программ Администрирование (Administrative Tools).
2. Раскройте узел Просмотр событий (Event Viewer) и щелкните журнал безопасности в левой панели.
3. Вверху списка вы увидите несколько событий Аудит отказов (Failure Audit) c идентификатором 560, сгенерированных из-за отказа в доступе к папке Data.
4. Щелкните правой кнопкой журнал безопасности в панели папок, выберите Вид (View), a затем Фильтр (Filter).
5. В диалоговом окне Фильтр (Filter) задайте следующие параметры:
Источник события (Event Source): Security;
Категория (Category): Доступ к объектам (Object Access);
Типы событий (Event Types): флажок Аудит отказов (Failure) установлен, остальные
сняты.
6. Щелкните ОК, чтобы применить данный фильтр к журналу безопасности.
Вы отфильтровали данные журнала безопасности, чтобы отображались только события, касающиеся отказа в доступе к объектам.
