وبلاگ تخصصی شبکه های کامپیوتری | MCSE , CCNA , ...

سیاست*های نظارتی یا Audit Policy :
هدف از این سیاست*ها نظارت بر کارهایی است که کاربر با فایل*ها، فولدرها انجام می*دهد و یا تغییراتی که ممکن است بخواهد ایجاد کند، ورود و خروج وی به سیستم و .... دقت داشته باشید که این سیاست*ها به هیچ وجه جلوی کاربر را نمی*گیرد بلکه اعمال او را تحت نظر قرار داده و یک فایل گزارش از آنها تهیه می*کند. این فایل گزارش یا Log File را می*توان توسط ابزار Event Viewer مشاهده کرد. برای دیدن این ابزار و دیدن گزارش*های Audit مربوطه روی My Computer کلیک راست کنید، Manage را بزنید. سپس Event Viewer را انتخاب و در نهایت Security را برگزینید.

این فایل*ها پسوند evt دارند و فقط از همین طریق می*توان آنها را دید و با ابزارهای متنی مثل Notepad قابل مشاهده نیستند. می*توان با کلیک راست روی Security در Event Viewer مسیر این فایل*ها را دید و عوض کرد. مسیر پیش*فرض آن System32\Config\SecEvent.evt می*باشد.


نکته مهم : حجم پیش*فرض این فایل 512 کیلوبایت است که اگر پر شود کاربران اجازه ورود به ویندوز را نخواهند داشت. پس اگر می*خواهید از آن زیاد استفاده کنید حتما حجم آن را افزایش دهید.

مثال : می*خوهیم لاگ کنیم چه کسی قصد ورود به سیستم را داشته است و آیا موفق شده یا خیر (چه از طریق خود سیستم و چه از طریق سیستم*های دیگر در شبکه)

راه حل : برای انجام این کار باید در بخش Audit Policy گزینه زیر را برای هر دو حالت Success و Failure فعال کنیم :


Audit Account Logon Events
پس از این کار، تمامی ورود و خروج*های سیستم چه از پای خود آن و چه از طریق شبکه در Event Viewer لاگ می*شونت که اگر دقت کنید کد موارد مربوط به این گزینه برابر با 680 است.

مثال : فولدر خاصی در سیستم وجود دارد. می*خواهیم هر کس سعی کرد آن را پاک کند (موفق یا ناموفق) موارد مربوطه لاگ شوند
نکته : این کار فقط روی درایوهای NTFS امکان*پذیر است.

راه حل : ابتدا در Audit Policy گزینه زیر را فعال می*کنیم

Audit Object Access
سپس به سراغ فولدر مذکور می*رویم. روی آن کلیک راست کرده و به ترتیب زیر پیش می*رویم :


Properties -> Permissions -> Advanced -> Auditing
حال انتخاب می*کنیم لاگ گیری برای چه کاربرانی فعال شود (اگر می*خواهیم همه کاربران را کنترل کنیم، Everyone را بر می گزینیم و بعد از آن از ما می*پرسد که چه عملی (Copy, Delete,…) مد نظر است.

بلافاصله پس از تایید، موارد مربوطه در Event Viewer با کد 560 یعنی (Object Access) لاگ می*شوند.

موارد دیگری هم وجود دارد که می*توانید خودتان آنها را بررسی کنید. مثلا گزینه زیر با کد 612 مشخص می*کند چه کسی سعی کرده است Policy ها را تغییر دهد :

Audit Policy Change Copy
کنترل اینکه چه کسی قصد داشته تغییراتی روی یوزرها (ساخت، حذف، تغییر رمز و ...) بدهد :

Audit Account Management
چه کسی قصد دسترسی و ایجاد تغییرات در Active Directory را داشته است
Audit Directory Service Access

/انجمن تخصصی شبکه

لینک مرتبط:

آموزش (10) MCSA , MCSE

آموزش (9) MCSA , MCSE

آموزش (8) MCSA , MCSE

آموزش (7) MCSA , MCSE


برچسب‌ها: آموزش, آموزش mcse, آموزش network +, audit policy
+ نوشته شده در  ۱٢ امرداد ۱۳٩٠ساعت ۸:٤۱ ‎ب.ظ  توسط Milad  نظرات ()