- Вступ З чотирьох попередніх статей, які присвячені локальним безпекової політики, ви вже навчилися...
- Приклади використання політик журналів подій
- висновок
Вступ
З чотирьох попередніх статей, які присвячені локальним безпекової політики, ви вже навчилися багатьом методам забезпечення безпеки робочих місць ваших користувачів. Ви знаєте, як можна задати обмеження на паролі облікових записів, керувати політиками аудиту, за допомогою яких ви можете досліджувати спроби вторгнення і невдалу аутентифікацію ваших користувачів, а також навчилися визначати, для яких користувачів або груп користувачів будуть надані різні права і привілеї. Майже всю інформацію про помилки, що сталися на комп'ютерах користувачів вашої організації можна дізнатися з журналів подій. З оснащенням «Перегляд подій» ви можете ознайомитися з циклу статей , Присвячених даного засобу. У цій статті ви дізнаєтеся про централізованому управлінні налаштувань журналами подій комп'ютерів вашої організації, використовуючи локальні політики безпеки.
Політики журналів подій
Задати налаштування журналів подій ви можете за допомогою чотирьох політик безпеки, призначених для трьох основних журналів - журналу безпеки, журналу додатків, а також системного журналу. Нижче ви дізнаєтеся про всі локальних політиках безпеки, використовуючи які ви можете управляти журналами подій ваших користувачів. Для того щоб перейти до налаштування політик журналів подій, в редакторі управління груповими політиками відкрийте вузол Конфігурація комп'ютера / Конфігурація Windows / Параметри безпеки / Локальні політики / Журнал подій. Політики журналів подій ви можете побачити на наступній ілюстрації:
Мал. 1. Вузол «Журнал подій»
Розглянемо детальніше кожну політику даного вузла:
Заборонити доступ для локальної групи гостей до журналу безпеки. Дана політика безпеки може бути застосована тільки до операційних систем, які передують Windows Vista. Застосовується дана політика з метою обмеження локальної групи гостей, які використовують анонімний вхід в систему для журналу безпеки в операційних системах Windows XP і Windows 2000. За замовчуванням, для клієнтів, що використовують операційну систему Windows 2000, дана політика відключена, а для користувачів Windows XP - включена .
Заборонити доступ для локальної групи гостей до журналу додатків. Дії цієї політики безпеки аналогічні політиці «Заборонити доступ для локальної групи гостей до журналу безпеки». Ця політика відрізняється від попередньої тільки тим, що використовуючи параметри поточної політики, ви можете обмежити гостьових користувачів у доступі до журналу «Додатки». За замовчуванням, для клієнтів, що використовують операційну систему Windows 2000, дана політика відключена, а для користувачів Windows XP - включена.
Заборонити доступ для локальної групи гостей до системного журналу. Поточна політика безпеки також як і дві попередні політики, дозволяє користувачам операційних систем Windows XP і Windows 2000 забороняти локальним гостям з анонімним входом в систему мати доступ до журналу «Система». За замовчуванням, для клієнтів, що використовують операційну систему Windows 2000, дана політика відключена, а для користувачів Windows XP - включена.
Максимальний розмір журналу безпеки. В одній зі статей присвячених управлінню журналами подій я розповідав про те, як ви можете змінити максимальний розмір різних журналів за допомогою графічного інтерфейсу або командного рядка. Якщо вам потрібно вказати максимальний розмір певного журналу для цілої групи користувачів, то ви можете спростити собі цю задачу і скористатися поточною політикою безпеки. Ця політика безпеки дозволяє вказувати максимальний розмір журналу «Безпека». Максимальний розмір журналу може досягати 4 Гб, але зазвичай вказують максимальний розмір не більше 500 Мб. Обмеження розміру журналу безпеки може призвести до затирання важливих подій, так як по досягненню граничного обсягу, у вас будуть видалятися найстаріші події, і замість них будуть записуватися нові. Розміри файлів журналу повинні бути кратні 64 КБ. Якщо введено значення, чи не кратне 64 КБ, засіб перегляду подій встановить розмір файлу журналу, кратний 64 КБ. Зазвичай, є сенс збільшувати розмір журналу подій тільки в тому випадку, якщо є необхідність в ретельній обробці подій безпеки і збереження журналу протягом тривалого періоду часу. За замовчуванням в операційній системі Windows 7 і Windows Vista розмір журналу безпеки становить 20 Мб, в Windows Server 2008 і Windows Server 2008 R2 - 128 Мб, для операційних систем Windows Server 2003 - 16 Мб, а Windows XP - 8 Мб.
Максимальний розмір журналу додатків. Налаштування цієї політики безпеки ідентичні налаштувань попередньої політики за винятком того, що тут ви можете вказати максимальний розмір журналу «Додатки» для комп'ютерів і користувачів на яких буде поширена область дії об'єкта групової політики.
Максимальний розмір системного журналу. Від попередніх двох політик безпеки дана політика відрізняється лише тим, що вона відповідає за максимальний розмір журналу «Система».
Метод збереження подій в журналі безпеки. Дана політика безпеки безпосередньо пов'язана з політиками «Максимальний розмір журналу безпеки» і «Зберігати події в журналі безпеки» в зв'язку з тим, що ця політика відповідає за перезапис журналу безпеки по перевищенню встановленого ліміту на розмір. Для вас є одне з трьох значень. При виборі значення «Затирати події за потребою», по закінченню вільного місця в журналі, все старі події будуть видалятися, і перезаписуватися новими. Зазвичай це значення використовується в тому випадку, якщо у вас немає необхідності в архівування подій зазначеного журналу. Значення «Затирати події по днях» доцільно використовувати в тому випадку, якщо у вас виконується архівування журналу по заданому проміжку часу, яке вказується за допомогою політики «Зберігати події в журналі безпеки». В цьому випадку будуть видалятися всі події в даному журналі після закінчення зазначеного терміну. Також в цьому випадку варто звернути увагу на те, щоб максимальний розмір журналу дозволяв вам зберігати всі події за вказаний проміжок часу. Значення «Не затирати події (чистка журналу вручну)» зазвичай використовується в тому випадку, коли є необхідність в збереженні всіх подій безпосередньо в журналі. Але варто врахувати, що після того як журнал досягне максимального розміру, все нові події будуть просто відхилятися.
Метод збереження подій в журналі додатків. Параметри цієї політики безпеки ідентичні налаштувань попередньої політики за винятком того, що тут ви можете вказати налаштування збереження подій для журналу «Додатки» комп'ютерів і користувачів, на яких буде поширена область дії об'єкта групової політики.
Метод збереження подій в системному журналі. Ця політика безпеки призначена для настройки збереження подій в журналі «Система».
Зберігати події в журналі безпеки. Поточна політика безпеки визначає, як довго можуть зберігатися події в журналі «Безпека» в тому випадку, якщо для політики «Метод збереження подій в журналі безпеки» зазначено значення «Затирати події по днях». Крім цього вам потрібно переконатися в тому, що розмір вашого журналу дозволяє зберігати події за вказаний проміжок часу, так як після досягнення журналом максимального розміру, все нові події будуть просто відхилятися.
Зберігати події в журналі додатків. Ця політика безпеки призначена для визначення кількості днів, протягом яких в журналі «Додатки» будуть зберігатися події.
Зберігати події в системному журналі. Параметри цієї політики безпеки ідентичні налаштувань попередніх двох політик за винятком того, що тут ви можете вказати період часу зберігання подій для журналу «Система» комп'ютерів і користувачів, на яких буде поширена область дії об'єкта групової політики.
Приклади використання політик журналів подій
Розберемося з настройками політик безпеки журналів подій на живому прикладі. У цьому прикладі ми визначимо настройки журналів подій «Додатки», «Безпека» і «Система» для групи «Бухгалтерія» організації. Припустимо, що в вашому відділі бухгалтерії все комп'ютери оснащені операційними системами Windows Vista і Windows 7, в зв'язку з чим, параметри політики «Заборонити доступ для локальної групи гостей до журналу ...» не будуть задіяні. Виконайте наступні дії:
- На контролері домену створіть групу безпеки «Бухгалтерія» і помістіть її в підрозділ «Групи»;
- Відкрийте консоль «Управління груповою політикою», де виберіть контейнер «Об'єкти групової політики» і натисніть на цьому контейнері правою кнопкою миші для відображення контекстного меню;
- У контекстному меню виберіть команду «Створити» і в діалоговому вікні, що «Новий об'єкт групової політики» введіть «Політики журналів подій для відділу бухгалтерії», після чого натисніть кнопку «ОК»;
- Виберіть даний об'єкт групової політики і з контекстного меню виберіть команду «Змінити», як показано на наступній ілюстрації:
Мал. 2. Зміна «Політики журналів подій для відділу бухгалтерії»
- У вікні «Редактор управління груповими політиками» розгорніть вузол Конфігурація комп'ютера / Політика / Конфігурація Windows / Параметри безпеки / Журнал подій і виберіть політику «Максимальний розмір журналу безпеки»;
- У діалоговому вікні «Властивості: Максимальний розмір журналу безпеки» встановіть прапорець «Визначити наступний параметр політики» і у відповідному текстовому полі встановіть значення в 30 МБ, що дорівнює 30720 КБ, як показано нижче:
Мал. 3. Налаштування максимального розміру журналу безпеки
- Припустимо, що у відділі безпеки встановлені надійні паролі, призначені всі необхідні права для користувачів цієї групи і у вас немає необхідності в аудиті журналів безпеки цього відділу. Відкрийте властивості політики «Метод збереження подій в журналі безпеки». У діалоговому вікні властивостей політики встановіть прапорець «Визначити наступний параметр політики» і виберіть значення «Затирати старі події за потребою». Тепер, після досягнення 30 Мб найстаріші події в журналах безпеки відділу бухгалтерії перезаписуватимуть новими;
Мал. 4. Налаштування методу збереження подій в журналі безпеки
- Для журналів додатків групи бухгалтерії реєструється не дуже багато подій, тому в настройках політики «Максимальний розмір журналу додатків» вкажемо значення 25600 КБ, що дорівнює 25 МБ;
- Ви не хочете, щоб журнал «Додатки» для відділу бухгалтерії вашої організації перезаписувати, але не ведете його архівацію. Припустимо, ви періодично його переглядаєте і очищаєте вручну. Для цього в політиці «Метод збереження подій в журналі додатків» встановіть значення «Не затирати події (чистка журналу вручну)». Але вам необхідно врахувати, що якщо ви не будете самостійно чистити даний журнал, то, в кінцевому рахунку, нові події не будуть фіксуватися в журналах додатків відділу бухгалтерії;
- Останній журнал, який вам належить налаштувати - це журнал «Система». У політиці «Максимальний розмір системного журналу» встановіть розмір 20 МБ, що є 20480 КБ;
- За вимогами безпеки вашої організації вам необхідно створювати архівні копії системних журналів для всіх груп безпеки. Тому в політиці «Метод збереження подій в системному журналі» виберіть значення «Затирати старі події по днях». При натисканні на кнопку «ОК» перед вами буде відображений діалог «Пропоновані зміни значень», в якому вказується, що для політики «Зберігати події в системному журналі» буде встановлено значення 7 днів. Це значення як раз відповідає вимогам по архівації системного значення і після натискання закриття даного діалогу не буде необхідності в редагуванні цієї політики безпеки;
Мал. 5. Пропоновані зміни значень політики «Зберігати події в системному журналі»
- По закінченню налаштувань політик журналів подій, вміст оснащення «Редактор управління груповими політиками» буде виглядати наступним чином:
Мал. 6. Налаштовані політики журналів подій
Закрийте цю оснастку.
- Після закриття оснащення «Редактор управління груповими політиками» вам потрібно прив'язати відредагований об'єкт групової політики до групи безпеки «Бухгалтерія». Для цього в оснащенні «Управління груповою політикою» виберіть контейнер «Групи», натисніть на ньому правою кнопкою миші і з контекстного меню виберіть команду «Зв'язати існуючий об'єкт групової політики ...». У діалоговому вікні «Вибір об'єкта групової політики» виберіть об'єкт «Політики журналів подій для відділу бухгалтерії» і натисніть на кнопку «ОК»;
Мал. 7. Вибір прив'язувати об'єкта групової політики
- Розгорніть підрозділ «Групи», виберіть об'єкт «Політики журналів подій для відділу бухгалтерії» і на вкладці «Область», і в області «Фільтри безпеки» видаліть фільтр «Минулі перевірку». Після цього натисніть на кнопку «Додати» і виберіть групу «Бухгалтерія», яка заздалегідь була створена;
- Перейдіть на клієнтські машини і обновіть групові політики, використовуючи команду Gpupdate;
висновок
У цій статті я продовжив опис локальних політик безпеки, які допоможуть максимально захистити клієнтські комп'ютери вашої організації засобами групових політик. Ви дізналися про налаштування політик журналів подій, за допомогою яких ви можете задавати максимальний розмір, вибирати метод збереження подій, а також визначати період часу, протягом якого події будуть зберігатися в трьох основних журналах. У наданому прикладі була проілюстрована процедура застосування даних політик. У наступній статті ви дізнаєтеся про призначення параметрів безпеки політик груп з обмеженим доступом, системних служб, реєстру, а також файлової системи.