Bezpečnosť > bezpečnosť
Prečo by mal administrátor zapnúť audit?
Politika auditu stanovuje, ktoré bezpečnostné udalosti budú ukládané do logov a následne reportováné správcovi.
Administrátor musí monitorovať bezpečnostné a systémové udalosti v systémoch, protože bez auditu je správca prakticky slepý. Vetšina systémových služieb a procesov, ktoré nie sú interaktivne, zasiela informácie o aktivite len do systémových logov. Typickým príkladom je linuxový démon cron, který je zodpovedný za štartovanie úloh v predefinovanom čase. Pred aplikovaním auditu sa musí správca rozhodnúť, ktoré bezpečnostné udalosti sa musia sledovať. Na Internete nájdete návody, ako zapnúť audit napr. pre Active Directory s Windows 2003 môžete využiť návod - HOW TO: Audit Active Directory Objects in Windows Server 2003 http://support.microsoft.com/kb/814595.
Obdobne nájdete návody na zapnutie auditu v iných OS.
doporučené zapnutie auditu na serveroch s W2003 (na serverech i doménových kontroleroch):
•· Audit Account Logon Events | Success, Failure
•· Audit Account Management | Success, Failure
•· Audit Directory Service Access | Failure
•· Audit Logon Events | Success, Failure
•· Audit Object Access | Failure
•· Audit Policy Change | Success, Failure
•· Audit Privilege Use | Failure
•· Audit Process Tracking | Not Defined
•· Audit System Events | Success, Failure
Zapnutie môže ľahko zahltiť logy Preto byste mali zapínat niekteré druhy auditu iba v nutnosti. Na Windows môže byť zapnutá služba SNMP a WMI pre vzdialený monitoring.
|