Failide ja kataloogide auditeerimine: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Ikruusam (talk | contribs)
Ikruusam (talk | contribs)
 
(58 intermediate revisions by the same user not shown)
Line 1: Line 1:
== Sissejuhatus ==
== Sissejuhatus ==


NTFS failisüsteemis on küll võimalik erinevate faili- ja kaustaõiguste tasemel andmetele ligipääsemist reguleerida, kuid nad ei võimalda saada ülevaadet sellest, kelle poolt ja mida on üritatud nende andmetega teha. Selleks, et saada ülevaadet, kes on saanud ligi failidele ja kataloogidele ning, kuidas ta on seda ligipääsu kasutanud, tuleb sisse lülitada auditeerimine.
NTFS failisüsteemis on küll võimalik erinevate faili- ja kataloogiõiguste tasemel andmetele ligipääsemist reguleerida, kuid nad ei võimalda saada ülevaadet sellest, kelle poolt ja mida on üritatud nende andmetega teha. Selleks, et saada ülevaadet, kes on saanud ligi failidele ja kataloogidele ning, kuidas ta on seda ligipääsu kasutanud, tuleb sisse lülitada auditeerimine.
<br/><br/><br/>


== Auditeerimise sisse lülitamine ==
== Failide ja kataloogide auditeerimise sisse lülitamine ==


Kõige lihtsam moodus autiteerimise sisse lülitamiseks on kasutada kausta '''Local Security Policy''' (''Kohalik turvapoliitika''). Selleks:
Kõige lihtsam moodus autiteerimise sisse lülitamiseks on kasutada '''Local Security Policy''' (''Kohalik turvapoliitika'') nimelist vahendit. '''Local Security Policy''' akna avamiseks:
<br />
<br />
1. vajuta '''Start''' nuppu, sisesta otsinguväljale tekst '''secpol.msc''' ja vajuta linki '''secpol''', mille tulemusena avaneb aken '''Local Security Policy''';
1. vajutage '''Start''' nuppu ja (valige moodus):
<br />
&nbsp;&nbsp;&nbsp;*sisestage otsinguväljale tekst '''Local Security Policy''' ja vajutage linki '''Local Security Policy''';
<br />
&nbsp;&nbsp;&nbsp;*sisestage otsinguväljale tekst '''secpol.msc''' ja vajutage linki '''secpol.msc'''.
<br /><br />
<br /><br />
[[File:Audit1.PNG]]
[[File:Audit1.PNG]]
<br /><br /><br />
<br /><br />
2.  akna vasakul poolel valige '''Local Policies''' (''Kohalikud poliitikad'') alt '''Audit Policy''' (''Auditipoliitika'');
2.  akna vasakul poolel valige '''Local Policies''' (''Kohalikud poliitikad'') alt '''Audit Policy''' (''Auditipoliitika'');
<br /><br />
<br />
3. akna paremal poolel avage '''Audit object access''' (''Auditeeri objektile juurdepääsu'');
3. akna paremal poolel avage '''Audit object access''' (''Auditeeri objektile juurdepääsu'');
<br /><br />
<br />
4. avanenud aknas '''Audit object access Properties''' saate märgistada:
4. avanenud aknas '''Audit object access Properties''' saate märgistada:
<br />
<br />
&nbsp;&nbsp;* '''Success''' (''Edu'') - salvestatakse kõik failide või kataloogide avamise õnnestunud katsed;
&nbsp;&nbsp;&nbsp;*'''Success''' (''Edu'') - salvestatakse kõik failide või kataloogide avamise õnnestunud katsed;
<br />
<br />
&nbsp;&nbsp;* '''Failure''' (''Nurjumine'') - salvestatakse kõik failide või kataloogide avamise ebaõnnestunud katsed;
&nbsp;&nbsp;&nbsp;*'''Failure''' (''Nurjumine'') - salvestatakse kõik failide või kataloogide avamise ebaõnnestunud katsed;
<br />
<br />
&nbsp;&nbsp;* '''Failure''' ja '''Sucess''' - salvestatakse mõlemat tüüpi katsed.
&nbsp;&nbsp;&nbsp;*'''Sucess''' ja '''Failure''' - salvestatakse mõlemat tüüpi katsed.
<br /><br />
<br /><br />
[[File:Audit2.PNG]]
[[File:Audit2.PNG]]
<br /><br /><br/>
== Failide ja kataloogide auditeerimiseks määramine ==
Juurdepääsu auditi sisse lülitamisega te saate silma peal hoida enda poolt valitud failide ja kataloogidega toimuval. Te saate hea ülevaate sellest, kes on üritanud nendele objektidele ligi pääseda ning, mida ta on üritanud nendega teha ehk, kui keegi on nt mingi faili ära kustutanud, siis te saate sellest ka teada. Kuid tuleb meeles pidada, et auditeerimiseks peab partitsioon olema formateeritud NTFS failisüsteemi.
<br /><br />
Auditeerimise alla kuuluvate failide ja kataloogide määramiseks:
<br />
1. klõpsake hiire parempoolse nupuga soovitud failil või kataloogil ja valige '''Properties''' (''Atribuudid'');
<br />
2. aknas klõpsake vahekaardil '''Security''' (''Turvalisus'') nuppu '''Advanced''' (''Täpsemalt'');
<br /><br />
[[File:Audit3.PNG]]
<br /><br />
3. aknas '''Advanced Security Settings for''' klõpsake vahekaardil '''Auditing''' (''Auditeerimine'') nuppu '''Continue''' (''Jätka'');
<br /><br />
[[File:Audit4.PNG]]
<br /><br />
4. uues aknas '''Advanced Security Settings for''' klõpsake nuppu '''Add...''' (''Lisa...'')
<br /><br />
[[File:Audit5.PNG]]
<br /><br />
5. aknas '''Select User or Group''' (''Vali Kasutaja või Rühm'') sisesta väljale '''Enter the object name to select''' (''Sisestage valitava objekti nimi'') selle kasutaja või rühma nimi, kelle tegevusi soovite jälgida ja klõpsake nuppu '''OK''';
<br /><br />
[[File:Audit7.PNG]]
<br /><br />
6. aknas '''Auditing Entry for''' saate nüüd märgistada tegevuste märkeruudud, mida soovite auditeerida. Seejuures:
<br />
&nbsp;&nbsp;&nbsp;* '''Successful''' (''Edukas'') - salvestatakse kõik failide või kataloogide avamise õnnestunud katsed;
<br />
&nbsp;&nbsp;&nbsp;* '''Failed''' (''Nurjunud'') - salvestatakse kõik failide või kataloogide avamise ebaõnnestunud katsed;
<br />
&nbsp;&nbsp;&nbsp;* '''Successful''' ja '''Failed''' - salvestatakse mõlemat tüüpi katsed.
<br /><br />
[[File:Audit6.PNG]]
<br /><br />
7. sulgege nupule '''OK''' vajutades kõik avatud aknad.
<br/><br/><br/>
== Failide ja kataloogide puhul auditeeritavad toimingud ==
Järgnevas tabelis on toodud loetelu toimingutest koos selgitustega, mida on võimalik aknas '''Auditing Entry for''' märgistada auditeerimiseks.
<br/><br/>
<table border="1" cellpadding="5" cellspacing="0" width="100%">
<tr>
<th colspan="2">Toiming</th>
<th>Kirjeldus</th>
</tr>
<tr>
<td>Traverse folder / execute file</td>
<td>Kausta läbimine / faili täitmine</td>
<td width="50%">Jälgib, millal keegi käivitab programmifaili</td>
</tr>
<tr>
<td>List folder / read data</td>
<td>Kaustaloend / andmete lugemine</td>
<td>Jälgib, millal keegi vaatab failis olevaid andmeid</td>
</tr>
<tr>
<td>Read attributes</td>
<td>Atribuutide lugemine</td>
<td>Jälgib, millal keegi vaatab sellise faili atribuute nagu kirjutuskaitstud või peidetud</td>
</tr>
<tr>
<td>Read extended attributes</td>
<td>Laiendatud atribuutide lugemine</td>
<td>Jälgib, millal keegi vaatab faili laiendatud atribuute. Laiendatud atribuudid on määratud selle programmi poolt, mis selle faili lõi</td>
</tr>
<tr>
<td>Create files / write data</td>
<td>Failide loomine / andmete kirjutamine</td>
<td>Jälgib, millal keegi muudab faili sisu</td>
</tr>
<tr>
<td>Create folders / append data</td>
<td>Kaustade loomine / andmete täiendamine</td>
<td>Jälgib, millal keegi lisab faili lõppu andmeid</td>
</tr>
<tr>
<td>Write attributes</td>
<td>Atribuutide kirjutamine</td>
<td>Jälgib, millal keegi muudab faili atribuute</td>
</tr>
<tr>
<td>Write extended attributes</td>
<td>Laiendatud atribuutide kirjutamine</td>
<td>Jälgib, millal keegi muudab faili laiendatud atribuute</td>
</tr>
<tr>
<td>Delete subfolders and files</td>
<td>Alamkaustade ja failide kustutamine</td>
<td>Jälgib, millal keegi kausta kustutab</td>
</tr>
<tr>
<td>Delete</td>
<td>Kustutamine</td>
<td>Jälgib, millal keegi faili kustutab</td>
</tr>
<tr>
<td>Read permissions</td>
<td>Õiguste lugemine</td>
<td>Jälgib, millal keegi loeb faili kasutusõigusi</td>
</tr>
<tr>
<td>Change permissions</td>
<td>Õiguste muutmine</td>
<td>Jälgib, millal keegi muudab faili õigusi</td>
</tr>
<tr>
<td>Take ownership</td>
<td>Omandiõiguse võtmine</td>
<td>Jälgib, millal keegi võtab faili omandiõiguse</td>
</tr>
</table>
<br/><br/><br/>
== Auditeerimislogide vaatamine ==
Windows peab arvutis toimuvate olulisemate sündmuste kohta logifaile ehk sündmuselogisid. Osade sündmuste logimine toimub automaatselt ja kasutaja ei pea nende sisse lülitamiseks midagi tegema. Osade logimine on vaja aga kasutaja poolt sisse lülitada. Viimaste hulka kuulub ka failide ja kataloogide auditeerimine.
<br/><br/>
Sündmuselogide vaatamiseks on Windowsis olemas '''Event Viewer''' (''Sündmusevaatur'') nimeline vahend ja selle kaudu saab ka ligipääsu auditeerimise ajal salvestatud logidele. '''Event Viewer''' akna avamiseks:
<br />
1. vajutage '''Start''' nuppu ja (valige moodus):
<br />
&nbsp;&nbsp;&nbsp;*sisestage otsinguväljale tekst '''Event Viewer''' ja vajutage linki '''Event Viewer''';
<br />
&nbsp;&nbsp;&nbsp;*sisestage otsinguväljale tekst '''eventvwr.msc''' ja vajutage linki '''eventvwr.msc'''.
<br />
2. aknas vasakul poolel valige '''Windows Logs''' (''Windows Logid'') alt '''Security''' (''Turvalisus''). Akna paremal poolel on nüüd näha kõik turvalisusega seotud sündmused, sealhulgas ka auditeerimislogid;
<br /><br />
[[File:Audit8.PNG]]
<br /><br />
3. sündmuse avamiseks ja selle üksikasjade vaatamiseks tehke sellel sündmusel topeltklõps.
<br /><br /><br />
<br /><br /><br />
== Kasutatud materjalid ==
http://windows.microsoft.com/et-EE/windows7/Monitor-attempts-to-access-and-change-settings-on-your-computer
<br />
http://windows.microsoft.com/en-US/windows7/Monitor-attempts-to-access-and-change-settings-on-your-computer
<br />
http://windows.microsoft.com/et-EE/windows7/What-information-appears-in-event-logs-Event-Viewer
<br />
William R. Stanek. Windows 7 Administrator's Pocket Consultant. Microsoft Press (2009)
<br />
<br />
== Autor ==
Ivo Kruusamäe AK21

Latest revision as of 18:58, 5 November 2010

Sissejuhatus

NTFS failisüsteemis on küll võimalik erinevate faili- ja kataloogiõiguste tasemel andmetele ligipääsemist reguleerida, kuid nad ei võimalda saada ülevaadet sellest, kelle poolt ja mida on üritatud nende andmetega teha. Selleks, et saada ülevaadet, kes on saanud ligi failidele ja kataloogidele ning, kuidas ta on seda ligipääsu kasutanud, tuleb sisse lülitada auditeerimine.


Failide ja kataloogide auditeerimise sisse lülitamine

Kõige lihtsam moodus autiteerimise sisse lülitamiseks on kasutada Local Security Policy (Kohalik turvapoliitika) nimelist vahendit. Local Security Policy akna avamiseks:
1. vajutage Start nuppu ja (valige moodus):
   *sisestage otsinguväljale tekst Local Security Policy ja vajutage linki Local Security Policy;
   *sisestage otsinguväljale tekst secpol.msc ja vajutage linki secpol.msc.



2. akna vasakul poolel valige Local Policies (Kohalikud poliitikad) alt Audit Policy (Auditipoliitika);
3. akna paremal poolel avage Audit object access (Auditeeri objektile juurdepääsu);
4. avanenud aknas Audit object access Properties saate märgistada:
   *Success (Edu) - salvestatakse kõik failide või kataloogide avamise õnnestunud katsed;
   *Failure (Nurjumine) - salvestatakse kõik failide või kataloogide avamise ebaõnnestunud katsed;
   *Sucess ja Failure - salvestatakse mõlemat tüüpi katsed.




Failide ja kataloogide auditeerimiseks määramine

Juurdepääsu auditi sisse lülitamisega te saate silma peal hoida enda poolt valitud failide ja kataloogidega toimuval. Te saate hea ülevaate sellest, kes on üritanud nendele objektidele ligi pääseda ning, mida ta on üritanud nendega teha ehk, kui keegi on nt mingi faili ära kustutanud, siis te saate sellest ka teada. Kuid tuleb meeles pidada, et auditeerimiseks peab partitsioon olema formateeritud NTFS failisüsteemi.

Auditeerimise alla kuuluvate failide ja kataloogide määramiseks:
1. klõpsake hiire parempoolse nupuga soovitud failil või kataloogil ja valige Properties (Atribuudid);
2. aknas klõpsake vahekaardil Security (Turvalisus) nuppu Advanced (Täpsemalt);



3. aknas Advanced Security Settings for klõpsake vahekaardil Auditing (Auditeerimine) nuppu Continue (Jätka);



4. uues aknas Advanced Security Settings for klõpsake nuppu Add... (Lisa...)



5. aknas Select User or Group (Vali Kasutaja või Rühm) sisesta väljale Enter the object name to select (Sisestage valitava objekti nimi) selle kasutaja või rühma nimi, kelle tegevusi soovite jälgida ja klõpsake nuppu OK;



6. aknas Auditing Entry for saate nüüd märgistada tegevuste märkeruudud, mida soovite auditeerida. Seejuures:
   * Successful (Edukas) - salvestatakse kõik failide või kataloogide avamise õnnestunud katsed;
   * Failed (Nurjunud) - salvestatakse kõik failide või kataloogide avamise ebaõnnestunud katsed;
   * Successful ja Failed - salvestatakse mõlemat tüüpi katsed.



7. sulgege nupule OK vajutades kõik avatud aknad.


Failide ja kataloogide puhul auditeeritavad toimingud

Järgnevas tabelis on toodud loetelu toimingutest koos selgitustega, mida on võimalik aknas Auditing Entry for märgistada auditeerimiseks.

Toiming Kirjeldus
Traverse folder / execute file Kausta läbimine / faili täitmine Jälgib, millal keegi käivitab programmifaili
List folder / read data Kaustaloend / andmete lugemine Jälgib, millal keegi vaatab failis olevaid andmeid
Read attributes Atribuutide lugemine Jälgib, millal keegi vaatab sellise faili atribuute nagu kirjutuskaitstud või peidetud
Read extended attributes Laiendatud atribuutide lugemine Jälgib, millal keegi vaatab faili laiendatud atribuute. Laiendatud atribuudid on määratud selle programmi poolt, mis selle faili lõi
Create files / write data Failide loomine / andmete kirjutamine Jälgib, millal keegi muudab faili sisu
Create folders / append data Kaustade loomine / andmete täiendamine Jälgib, millal keegi lisab faili lõppu andmeid
Write attributes Atribuutide kirjutamine Jälgib, millal keegi muudab faili atribuute
Write extended attributes Laiendatud atribuutide kirjutamine Jälgib, millal keegi muudab faili laiendatud atribuute
Delete subfolders and files Alamkaustade ja failide kustutamine Jälgib, millal keegi kausta kustutab
Delete Kustutamine Jälgib, millal keegi faili kustutab
Read permissions Õiguste lugemine Jälgib, millal keegi loeb faili kasutusõigusi
Change permissions Õiguste muutmine Jälgib, millal keegi muudab faili õigusi
Take ownership Omandiõiguse võtmine Jälgib, millal keegi võtab faili omandiõiguse




Auditeerimislogide vaatamine

Windows peab arvutis toimuvate olulisemate sündmuste kohta logifaile ehk sündmuselogisid. Osade sündmuste logimine toimub automaatselt ja kasutaja ei pea nende sisse lülitamiseks midagi tegema. Osade logimine on vaja aga kasutaja poolt sisse lülitada. Viimaste hulka kuulub ka failide ja kataloogide auditeerimine.

Sündmuselogide vaatamiseks on Windowsis olemas Event Viewer (Sündmusevaatur) nimeline vahend ja selle kaudu saab ka ligipääsu auditeerimise ajal salvestatud logidele. Event Viewer akna avamiseks:
1. vajutage Start nuppu ja (valige moodus):
   *sisestage otsinguväljale tekst Event Viewer ja vajutage linki Event Viewer;
   *sisestage otsinguväljale tekst eventvwr.msc ja vajutage linki eventvwr.msc.
2. aknas vasakul poolel valige Windows Logs (Windows Logid) alt Security (Turvalisus). Akna paremal poolel on nüüd näha kõik turvalisusega seotud sündmused, sealhulgas ka auditeerimislogid;



3. sündmuse avamiseks ja selle üksikasjade vaatamiseks tehke sellel sündmusel topeltklõps.


Kasutatud materjalid

http://windows.microsoft.com/et-EE/windows7/Monitor-attempts-to-access-and-change-settings-on-your-computer
http://windows.microsoft.com/en-US/windows7/Monitor-attempts-to-access-and-change-settings-on-your-computer
http://windows.microsoft.com/et-EE/windows7/What-information-appears-in-event-logs-Event-Viewer
William R. Stanek. Windows 7 Administrator's Pocket Consultant. Microsoft Press (2009)

Autor

Ivo Kruusamäe AK21