Домашний доктор для вашего ПК
Шрифт:
Максимальный срок жизни билета пользователя
Определяет максимальный интервал времени (в часах), в течение которого действует пользовательский билет TGT (ticket-granting ticket – билет на выдачу билета). По истечении срока действия билета TGT необходимо запросить новый билет или возобновить существующий. По умолчанию: 10 часов.
Максимальный срок жизни для возобновления билета пользователя
Определяет период времени (в днях), в течение которого можно возобновить пользовательский билет TGT. По умолчанию: 7 дней.
Максимальная погрешность синхронизации часов компьютера
Определяет максимальное расхождение (в минутах) между показаниями часов клиента и сервера, при котором Kerberos V5 считает их идущими синхронно. Для предотвращения атак, основанных на повторном воспроизведении трафика, Kerberos V5 использует отметки времени. Чтобы этот механизм работал надлежащим образом, часы клиента и сервера должны быть синхронизированы с максимально возможной точностью. Иными словами, на обоих компьютерах должно быть установлено одинаковое время и одинаковая дата.
Поскольку часы двух компьютеров часто выпадают из синхронности, администраторы могут с помощью данной политики установить максимальный допуск рассогласования часов, приемлемый для Kerberos V5. Если расхождение между показаниями часов клиента и часов сервера меньше заданного этой политикой значения, любая отметка времени, используемая в сеансе связи между двумя компьютерами, будет считаться достоверной. По умолчанию: 5 минут.
3.16. Локальные политики
Политика аудита
Аудит событий входа в систему
Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на другом компьютере, при условии что данный компьютер используется для проверки подлинности учетной записи. Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики установите флажок «Определить следующие параметры политики» и снимите флажки «Успех» и «Отказ». Если аудит успешных попыток входа в систему включен на контроллере домена, в журнал будет заноситься запись о каждом пользователе, прошедшем проверку на этом контроллере домена, несмотря на то что пользователь на самом деле входит в систему на рабочей станции домена. По умолчанию: «Нет аудита» для контроллеров домена; не определен для рядового компьютера домена.
Аудит управления учетными записями
Определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на компьютере. К таким событиям относятся, в частности, следующие:
• создание, изменение или удаление учетной записи пользователя или группы;
• переименование, отключение или включение учетной записи пользователя;
• задание или изменение пароля.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями. Чтобы отключить аудит, в диалоговом окне «Свойства» данного параметра политики установите флажок «Определить следующие параметры политики» и снимите флажки «Успех» и «Отказ». По умолчанию: «Нет аудита».
Аудит доступа к службе каталогов
Определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом (SACL). По умолчанию эта политика отменяет аудит для объекта групповой политики «Стандартный контроллер домена» и не определена для рабочих станций и серверов, на которых она не имеет смысла. Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики надо отключить флажок Определить следующие параметры политики и снять флажки Успех и Отказ . Следует отметить, что системную таблицу управления доступом для объекта Active Directory можно установить на вкладке Безопасность диалогового окна Свойства этого объекта. Данная политика аналогична политике «Аудит доступа к объектам», только она применяется к объектам Active Directory, а не к объектам файловой системы и реестра.
По умолчанию: «Нет аудита» для контроллеров домена; не определен для рядового компьютера домена.
Аудит входа в систему
Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на данном компьютере, а также подключиться к этому компьютеру через сеть.
Если на контроллере домена ведется учет успешных попыток для политики «Аудит событий входа в систему», попытки входа в систему на рабочих станциях не будут подлежать аудиту.
События входа в систему регистрируются только при попытках интерактивного и сетевого входа на сам контроллер домена. Короче говоря, политика «Аудит событий входа в систему» действует там, где размещена учетная запись, а политика «Аудит входа в систему» – там, где предпринимается попытка входа.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики надо установить флажок «Определить следующие параметры политики» и снять флажки «Успех» и «Отказ». По умолчанию: «Нет аудита».
Аудит доступа к объектам
Определяет, подлежит ли аудиту событие доступа пользователя к объекту – например, к файлу, папке, разделу реестра, принтеру и т. п., – для которого задана собственная системная таблица управления доступом (SACL). Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту, для которого определена таблица SACL. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики надо установить флажок «Определить следующие параметры политики» и снять флажки «Успех» и «Отказ». Следует отметить, что системную таблицу управления доступом для объекта файловой системы можно установить на вкладке Безопасность диалогового окна Свойства этого объекта. По умолчанию: «Нет аудита».
Аудит изменения политики
Определяет, подлежит ли аудиту каждый факт изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.
Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики надо установить флажок «Определить следующие параметры политики» и снять флажки «Успех» и «Отказ». По умолчанию: «Нет аудита».
Аудит использования привилегий
Определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики надо установить флажок «Определить следующие параметры политики» и снять флажки «Успех» и «Отказ».