Серверная операционная система Microsoft Windows 2003

         

Протоколирование событий


Требования политики безопасности большинства предприятий предполагают регистрацию всех событий, связанных с действиями удаленных пользователей в рамках корпоративной сети. Сервер удаленного доступа Windows Server 2003 позволяет регистрировать все события, связанные с аутентификацией удаленных пользователей, в специальных журналах. Анализ подобных журналов может позволить администратору выявить попытки несанкционированного проникновения в систему, определить периоды максимальной и минимальной нагрузки на сервер.
Строго говоря, сервер удаленного доступа Windows Server 2003 поддерживает два типа регистрации событий. В первом случае речь идет о событиях, связанных с функционированием службы маршрутизации и удаленного доступа в целом. Эти события регистрируются в системном журнале Windows Server 2003 (System log). Информация, содержащаяся в этом журнале, используется для разрешения проблем, вызванных сбоями в работе компонентов системы.
Во втором случае сервер удаленного доступа под управлением Windows Server 2003 регистрирует события, связанные с аутентификацией удаленных пользователей. На основе регистрируемой информации можно проследить использование удаленного доступа и попытки аутентификации. Регистрация особенно полезна для оперативного решения проблем при работе с политиками удаленного доступа. Для каждой попытки аутентификации регистрируется название политики удаленного доступа, в соответствии с которой была принята или отклонена попытка установления соединения. Информация о регистрируемых событиях может быть сохранена в файле журнала, либо сохраняться в базе данных (под управлением MS SQL Server). Используемые для регистрации событий журналы располагаются в папке %SystemRoot%\system32\LogFiles. Журналы хранятся в формате IAS 1.0 или IAS 2.0.
В качестве альтернативы текстовым файлам (которые неудобны для анализа) администратор может сохранять информацию о событиях в базе данных. Для соединения с базой данных используется интерфейс ODBC. Соответственно, перед регистрацией событий администратор должен сконфигурировать ODBC-соединение.

Регистрация событий, связанных с проверкой подлинности удаленных пользователей, возможна только в том случае, если используется стандартный механизм аутентификации Windows (Windows accounting). В случае применения для аутентификации пользователей протокола RADIUS администратор должен задействовать механизмы протоколирования событий службы IAS.



Содержание раздела