Auditing

För att övervaka systemet, med vem som använder vad och om någon har misslyckats med ett uppdrag kan man använda sig av auditing för att övervaka den processen.


En Auditing Policy för en domain bör innehålla:

Auditing kan sättas upp på vilken NT Maskin som helst, men för att köra auditing på filer och kataloger så måste man ha konverterat till NTFS. För att få sätta upp en Auditing måste följande kriterier uppnås för dig som user.
  1. Medlem i administrators gruppen där du skall sätta auditing.
  2. Om man inte är medlem i Admin så måste man ha specialrättigheten Manage auditing and securitylog. Den sätts som default till administrators gruppen.

Planerande av en Auditpolicy.

Vad vill man övervaka då?
Språning av: Skall köras audit på:
   
Otillbörlig påloggning. Användares pålogging och avloggningar.
Otillbörlig utnyttjande av resurser. Användandet av mappar och filresurser.
Systemuppdrag gjorda av en user. Användandet av user rights.
Förändringar gjorda till users och grupper. Användar- och grupphantering.
Förändringar till användarrättigheterna eller i audit policys. Säkerhetspolicy förändringar.
Strulande med en server. Omstart eller nedtagning av systemet.
Vilket program används av vem. Process spårning.


Nu är det upp till dig som admin om du vill logga både lyckade och misslyckade körningar.

Audit 1

Högsäkerhetsnät


Mediumsäkerhetsnät


Lågsäkerhetsnät


Förutom rena system händelser så kan man köra auditing på filer och kataloger, högerklick på mappen eller filen så kommer audit fram.


Granska filer och kataloger

Genom att granska filer och kataloger kan du följa upp hur de används. Du kan ange vilka grupper, användare och åtgärder som ska granskas för en viss fil eller katalog. Du kan granska både lyckade och misslyckade åtgärder. Windows NT lagrar informationen som genereras när en fil granskas.

Så här granskar du en fil eller katalog:

  1. Markera filen eller katalogen i Filhanterarens fönster.
  2. Välj Granskning på Säkerhet-menyn.
  3. Om du anger granskning för en katalog kan du med två kryssrutor kontrollera hur granskningsändringar påverkar befintliga filer och underkataloger.
  4. Ange granskningsalternativ för varje grupp eller användare i listan. Markera namnet på en grupp eller användare och markera därefter händelsen som ska granskas för den gruppen eller användaren.
  5. Välj OK.
Audit 2

Som default är kryssrutan Ersätt granskning på befintliga filer markerad. Markera kryssrutorna Ersätt granskning för alla underkataloger och Ersätt granskning på befintliga filer om du vill att granskningsändringar ska användas i katalogen och dess filer, och i befintliga underkataloger och deras filer.


Granskning av Skrivare, som man kan se så är principen väldigt lika.

Auditprint

Använda Event Viewer för att titta på säkerhetsloggen

Med Loggboken kan du övervaka händelser i systemet. Du kan visa och hantera händelseloggar för System, Säkerhet och Program. Du kan också arkivera händelseloggar. Händelseloggningen startar automatiskt när du kör Windows NT. Du kan avbryta loggningen med verktyget Tjänster i Kontrollpanelen. Detta fungerar som en databas, så man kan spara filer, filtrera, ta bort filer, strunta i dubbletter, kort sagt det finns massor av möjligheter att styra utseendet på denna loggfil.

Audit 3


Dialogrutan Logginställningar

Här kan du definiera den maximala storleken på loggen och vad Windows NT ska göra när händelseloggen är full.
Audit 4


Filter

I dialogrutan Filter kan du definiera datumintervall, händelsetyper, källa och kategorier för händelser som visas för den aktuella loggen. De val du anger för filtrering används under hela den aktuella sessionen i Loggboken. När du filtrerar visas en bock intill Filtrera händelser på Visa-menyn och "(Filtrerad)" visas i namnlisten.

Event viewer har 5 st symboler i sin logglista:
  1. Stopknappen = Fel
  2. Utropstecken = Varning
  3. I Tecknet = Information
  4. Nyckeln = Lyckad Auditing
  5. Låset = Misslyckad auditing
Audit 5

Skickande av administrativa signaler eller Alerts till användare i din domain, när meddelandet skickats så kommer en dialogruta upp på den maskinen som skall erhålla den administrativa signalen.


Skicka signaler när du skall:

  1. Utföra en backup på systemet.
  2. "Kasta ut" koppla från användare från systemet.
  3. Nertagning av en Server.
Man skriver bara in NetBIOS namnet till den maskin som man vill skicka alerten till. Detta utföres i Servermanager.

Alert

Tillbaka till NT 4 startsidan.