Диалоговое окно “Аудит, Теневое копирование и Алерты”

Чтобы установить правила аудита и теневого копирования для оперативного режима для определенного типа устройств, выделите тип устройства (для одновременного выделения нескольких типов используйте клавиши Ctrl и/или Shift) и, щелкнув правой кнопкой мыши, выберите пункт Установить аудит, теневое копирование и алерты из контекстного меню, либо нажмите соответствующую кнопку на панели инструментов.

Для каждого устройства можно протоколировать два типа попыток доступа:

•Разрешено - Все попытки доступа, которые были разрешены сервисом DeviceLock, т.е. пользователю был предоставлен доступ к устройству.

•Запрещено - Все попытки доступа, которые были заблокированы сервисом DeviceLock, т.е. пользователю был запрещен доступ к устройству.

Для того чтобы включить протоколирование одного или обоих типов доступа, установите флажки Аудит разрешений и/или Аудит запретов. Эти флажки не имеют логической привязки к отдельным учетным записям пользователей или групп, они влияют на весь тип устройства.

Имена пользователей и групп пользователей, назначенных данному типу устройства, отображаются в списке учетных записей в левой верхней части диалога Аудит, Теневое копирование и Алерты.

Чтобы добавить нового пользователя или группу пользователей в список учетных записей, нажмите кнопку Добавить. Вы можете добавить несколько учетных записей одновременно.

Для удаления учетных записей из списка используйте кнопку Удалить. Для одновременного удаления нескольких записей используйте клавиши Ctrl и/или Shift.

С помощью кнопки По умолчанию можно задать правила аудита и теневого копирования по умолчанию для устройств: члены группы Пользователи (Users) и учетная запись Все (Everyone) имеют права Чтение и Запись на аудит, а права на теневое копирование для них отключены.

Используя специальный элемент управления для выбора времени, можно задать период, когда правило аудита для выбранного пользователя или группы будет (или не будет) активно. Этот элемент управления расположен в правой части диалогового окна. Нажимайте левую кнопку мыши для выбора времени, когда правило аудита активно. Для выбора времени, когда правило аудита неактивно, нажимайте правую кнопку. Можно также использовать клавиатуру: стрелки для навигации и пробел для переключения между активным/неактивным состоянием.

Чтобы указать действия пользователя, подлежащие регистрации, задайте соответствующие права. Предусмотрены две группы прав:

•Аудит - Права для протоколирования действий пользователя в журнал аудита. Подробнее см. в разделе Группа прав “Аудит”.

•Теневое копирование - Права для протоколирования действий пользователя в журнал теневого копирования. Подробнее см. в разделе Группа прав “Теневое копирование”.

Примечание: Если передача данных запрещена на уровне типа (с помощью разрешений), то теневая копия передаваемых данных не будет создана, так как в этом случае DeviceLock блокирует передачу данных до начала их перехвата. Исключение: Если данные проверяются контентно-зависимыми правилами, то DeviceLock создает теневую копию данных, даже если их передача запрещена на уровне типа.

Записи в журнале аудита могут не создаваться, несмотря на заданные правила аудита. Данная проблема обычно вызвана тем, что в настройках правил аудита не установлены флажки Аудит разрешений и Аудит запретов. Существующая конфигурация протоколирования в этом случае не является корректной, что приводит к отсутствию записей в журнале аудита.

При настройке правил аудита необходимо убедиться, что установлен хотя бы один из флажков Аудит разрешений и Аудит запретов.

Следует также иметь в виду, что протоколирование событий аудита на уровне интерфейса USB не ведётся для устройств, добавленных в белый список (см. Белый список USB-устройств (обычный профиль)), а также для устройств, контроль которых отключен настройками безопасности (см. Настройки безопасности (обычный профиль)).