IIS - Настройка аудита и мониторинг
Для мониторинга событий, связанных с безопасностью веб-сервера, и для поиска уязвимых мест в защите отдельных файлов и каталогов можно использовать проводник Windows, оснастку IIS и консоль MMC. Дополнительные сведения об аудите см. в документации Windows. В этом разделе описываются действия по настройке аудита доступа к файлам и каталогам, а также событий сервера.
Дополнительные сведения о ведении журналов IIS см. в разделе Ведение журналов узлов.
Установка оснастки групповой политики
Для использования описанных в этой главе средств аудита, необходимо установить оснастку групповой политики. Эта оснастка не включена в консоль управления компьютером и для нее нужно создать новую консоль. Дополнительные сведения о добавлении оснасток MMC см. в документации по Windows 2000.
Чтобы создать новую консоль MMC и добавить в нее оснастку групповой политики
- Нажмите кнопку Пуск и выберите команду Выполнить. В диалоговом окне запуска программы введите
mmc
. Будет запущена новая консоль MMC. - В меню Консоль выберите команду Добавить/удалить оснастку.
- В диалоговом окне Добавить/удалить оснастку нажмите кнопку Добавить.
- В диалоговом окне Добавить изолированную оснастку выберите Групповая политика из списка доступных оснасток. Нажмите кнопку Добавить.
- В диалоговом окне Выбор объекта групповой политики нажмите кнопку Готово, чтобы выполнить аудит локального компьютера, либо кнопку Обзор для выбора компьютера для аудита.
- Если нажата кнопка Обзор, перейдите к шагу 7. В противном случае перейдите к шагу 9.
- В диалоговом окне Поиск объекта групповой политики откройте вкладку Компьютеры, нажмите кнопку На другом компьютере, выберите компьютер, аудит которого нужно выполнить, и нажмите кнопку OK.
- В диалоговом окне Выбор объекта групповой политики нажмите кнопку Готово.
- Закройте диалоговое окно Добавить изолированную оснастку.
- Нажмите кнопку OK.
- В меню Консоль выберите команду Сохранить, чтобы сохранить новую консоль на жестком диске. Эта консоль будет использоваться для настройки возможностей аудита.
Чтобы дать учетной записи пользователя разрешение на настройку аудита
По умолчанию только члены группы «Администраторы» имеют привилегии для настройки аудита. Можно возложить задачу настройки аудита событий сервера на другую учетную запись пользователя. Чтобы дать учетной записи пользователя разрешение на настройку аудита:
- В только что созданной консоли групповой политики раскройте следующие узлы в указанном порядке:Конфигурация компьютера, Конфигурация Windows, Параметры безопасности, Локальные политики и Назначение прав пользователя.
- Выберите параметр Управление аудитом и журналом безопасности, затем нажмите кнопку Действие и выберите команду Безопасность.
- В диалоговом окне Параметр локальной политики безопасности нажмите кнопку Добавить.
- Выберите из списка нужного пользователя или группу пользователей и нажмите кнопку Добавить. Нажмите OK.
Примечание. Если кнопка Добавить недоступна, сбросьте флажок Исключить из локальной политики.
Чтобы включить аудит доступа к каталогу или файлу
Для описанных ниже средств аудита требуется файловая система NTFS. См. Защита файлов средствами NTFS.
- С помощью проводника Windows выберите каталог или файл, для которых нужно включить аудит, и откройте окно его свойств.
- Откройте вкладку Безопасность.
- Нажмите кнопку Дополнительно. В диалоговом окне Параметры управления доступом откройте вкладку Аудит.
- Чтобы включить аудит группы, пользователя или компьютера, нажмите кнопку Добавить. Выберите из списка пользователя, контакт, группу или компьютер и нажмите OK.
- В группе Доступ диалогового окна Элемент аудита выберите нужные параметры. Сведения об этих параметрах см. в документации Windows.
- Чтобы изменить охватываемую аудитом область ресурсов, выберите соответствующий уровень аудита из раскрывающегося списка Применить к. Сведения об этих уровнях см. в документации Windows.
- Чтобы включить аудит объектов, относящихся только к рассматриваемой области, установите флажок Применять этот аудит к объектам и/или контейнерам только внутри этого контейнера. Установка этого флажка отменяет аудит объектов, созданных в данной области и выполняющихся вне ее.
Примечание. Если вкладки Безопасность нет, значит на сервере установлена файловая система FAT. Сведения о преобразовании файловой системы FAT в NTFS см. в документации Windows.
Примечания
- Аудит использует ресурсы компьютера. Для достижения оптимальной производительности сервера следует включать аудит только для тех объектов, для которых это действительно необходимо. Например, если в каталоге находятся 100 файлов и лишь несколько из них нужно подвергнуть аудиту, то аудит следует включить только для этих файлов, а не для всего каталога.
- Аудит доступа к файлу или каталогу можно настроить удаленно; для этого следует разрешить совместный доступ к этому файлу или каталогу. Удаленный пользователь может использовать описанную выше процедуру. Дополнительные сведения о предоставлении совместного доступа к файлу или каталогу см. в документации Windows.
Чтобы настроить аудит событий сервера
- В только что созданной консоли групповой политики раскройте следующие узлы в указанном порядке:Конфигурация компьютера, Конфигурация Windows, Параметры безопасности, Локальные политики и Политика аудита.
- Выберите события для аудита, нажмите кнопку Действие и выберите команду Безопасность.
- Установите или сбросьте соответствующие флажки. Дополнительные сведения о параметрах аудита см. в документации Windows.
- Нажмите кнопку OK.
Примечание. Чтобы настроить политики безопасности домена на основном контроллере домена (PDC) или на резервном контроллере домена (BDC), выберите узел Политики домена, а не Локальные политики.
Примечание. Если параметры недоступны, сбросьте флажок Исключить из локальной политики.