Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Администраторы и аудиторы
|
|
Архитектура подсистемы аудита Windows неявно предполагает совпадение групп администраторов и аудиторов, что заметно снижает защищенность операционной системы от несанкционированных действий администраторов.
Если необходимо сделать группу аудиторов отличной от группы администраторов (имеет смысл при наличии подозрений к админу), можно было бы выполнить следующие действия:
из членов группы «Администраторы» создать группу по имени, например, Auditors и добавить в нее всех пользователей-аудиторов (с правами аудиторов из группы «Администраторы»);
сделать владельцем файла журнала аудита одного из аудиторов (из группы «Auditors»);
присвоить файлу журнала аудита дескриптор защиты, содержащий DACL вида
| разрешить | Auditors | все права доступа (полный доступ) |
| разрешить | SYSTEM | Все права доступа (полный доступ) |
всем другим пользователям доступ к файлу журнала аудита явно запретить;
предоставить группе Auditors привилегию аудитора (есть привилегия управления аудитом и привилегия управления журналом аудита) и отнять эту привилегию у группы Administrators. В Win 2k и Win XP это достигается так: Панель управления—Администрирование—Локальная политика безопасности—Локальные политики—Назначение прав пользователя—Управление аудитом и журналом аудита—Администраторы по умолчанию—Изменить надо).
Если этого не сделать, то полномочия на изменение значений параметров политики аудита сохранятся у членов группы «Администраторы».
исключить учетные записи аудиторов из состава группы «Администраторы» (а надо?!).
Теоретически после выполнения вышеперечисленных действий просматривать и очищать журнал аудита, а также управлять списками SACL объектов операционной системы смогут только пользователи, входящие в группу Auditors.
Однако доступ к политике аудита (изменить политику аудита (включить аудит)) предоставляется только членам группы Administrators. Поэтому группа Auditors должна представлять собой подмножество (иначе не смогут очищать журнал аудита) группы Administrators. При этом администраторы, не обладающие привилегией аудитора, также могут менять политику аудита.
Полное разделение группы аудиторов и группы администраторов в Windows с использованием документированных возможностей операционной системы невозможно. Это является существенным недостатком подсистемы аудита Windows.