Как работает аудит доступа к объектам в системе безопасности Windows?

Аудит доступа к объектам в системе безопасности Windows работает путём записи в специальные журналы информации об определённых событиях. oblako.kz В них указывается источник, код события, успешность, объект и другие данные. oblako.kz

Некоторые события, которые можно записывать:

• удаление файла или папки; searchinform.ru oblako.kz
• переименование; searchinform.ru
• копирование информации; searchinform.ru
• вход в систему или выход из неё; searchinform.ru oblako.kz
• запуск программы; searchinform.ru
• чтение документов, вывод информации на экран или на печать. searchinform.ru

Объектом аудита может быть любой файл или папка, а также определённое событие. oblako.kz Например, можно записывать все события, происходящие с конкретным файлом или папкой: чтение, запись, удаление и т. д.. oblako.kz

При настройке аудита доступа к объектам в журнале учёта появляется отметка «успех», если действие совершено и завершено успешно, или «отказ», если прав пользователя на совершение операции недостаточно. searchinform.ru

Действия и события регистрируются в журнале безопасности, который находится в папке «Управление компьютером». searchinform.ru Объём вносимых данных зависит от первичных настроек аудита доступа. searchinform.ru

Поиск событий в журналах учёта Windows сложен из-за объёма информации и отсутствия тонких инструментов для фильтрации событий. searchinform.ru Для анализа обычно используются специализированные средства: системы мониторинга, скрипты и т. д.. oblako.kz