Windows 7 security audit

[aelius]

Windows 7 ne permite, pe langa multele "sorcove" inutile ce iti pun la grea incercare ochiul, sa avem acces si la cateva instrumente destul de folositoare si care ne pot scapa de multe probleme. Unul dintre aceste utilitare este Audit Tool. Acesta ne permite crearea de log-uri in anumite conditii si vizualizarea acestra mai apoi cu ajutorul Event Viewer.

Pentru activarea utilitarului de Audit este necesara pornirea Local Security Policy:

- Pentru cei ce au activat Administrative Tools in meniul de Start : click pe Start / All Programs / Administrative Tools / Local Security Policy

- Pentru cei ce nu au activat Administrative Tools : click pe Start / Run. Aici scrieti “secpol.msc” apoi click pe Ok.

- Sau in bara de Search din Start scriem “security”, sistemul ne va afisa toate intrarile ce incep cu cuvantul “security”. Printre ele este si Local Security Policy. Faceti click pe el.

In pagina Local Security Policy vom merge in: Security Settings / Local Policies / Audit Policy.

Optiunea Audit Policy ne permite sa activam sau nu anumite triggere care vor declansa logarea in sistem a anumitor evenimente aparute. Un exemplu este acela de logare a unui utilizator in sistem. Daca avem activa optiunea de Audit pentru evenimentele de logare in sistem, atunci logarea va putea fi logata atat pentru logare esuata (cineva forteaza logarea cu un nume utilizator) cat si logarea cu succes (putem vedea un istoric al logarilor in sistem).

Aici avem disponibile 9 variante posibile fiecare din ele cu posibilitatea de logare la succes sau eroare:

- Audit account logon events : permite auditul incercarilor de logare in sistem a userilor inregistrati din remote.

- Audit account management : permite logarea evenimentelor ce tin de crearea, stergerea sau modificarea utilizatorilor sistem.

- Audit directory service access : logarea evenimentelor de acces la anumite directoare care au fost limitate de administrator.

- Audit logon events : logarea evenimentelor legate de accesul local la sistem al utilizatorilor.

- Audit object access : logarea evenimentelor legate de accesul la anumite obiecte protejate de administrator prin tab-ul de Security.

- Audit policy change : logarea evenimentelor legate de modificarea drepturilor de acces, politicilor de audit sau politicilor de incredere.

- Audit privilege use : logarea evenimentelor de exercitare a drepturilor de acces ale unui utilizator.

- Audit process tracking : logarea evenimentelor detaliate despre executia unui proces in sistem.

- Audit System events : logarea evenimentelor ce afecteaza sistemul fizic si cauzele acestora (ex. un utilizator reseteaza sistemul, o eroare soft determina blocarea sistemului).

- Dupa modificare fiecarei optiuni asa cum dorim, fie ea Audit la Success sau Failure, acestea vor fi inregistrate in log-urile sistem si vor putea fi vizualizare ulterior cu ajutorul Event Viewer.

Pentru Event Viewer: Start > Run > Eventvwr.msc

Utilitarul Event Viewer permite de asemenea si o serie de operatii ce pot fi efectuate cu log-urile sistem, cum ar fi : crearea de filtre personalizate pentru afisarea numai a anumitor evenimente, stergerea tuturor log-urilor dintr-o categorie aleasa, gasirea anumitor evenimente dupa un cuvant cheie, salvarea evenimentelor etc. Aceste operatii pot fi efectuate urmarind meniul din partea dreapta a ferestrei utilitarului.

Autor: Vali / RTFM

[Un.Neuron]

super util.

mersi