Отключение аудита
Если владелец взламываемой системы хоть немного беспокоится
о безопасности, он обязательно включит режим аудита, о чем мы уже
говорили выше в данной главе. Поскольку ведение журналов может снизить
производительность интенсивно работающих серверов, особенно если регистрируются
такие события, как, например, успешное выполнение функций управления
пользователями и группами (флажок Success для события User and Group
Management в диалоговом окне Audit Policy диспетчера пользователей),
многие администраторы NT либо вообще не включают функций контроля,
либо включают лишь некоторые из них. Однако первое, что делает злоумышленник,
пытаясь получить привилегии администратора, проверяет, активизирован
ли режим аудита, чтобы случайно не "засветиться". Утилита
auditpol из набора NTRK позволяет управлять этим процессом. В следующем
примере показано, как с помощью утилиты auditpol отключается режим
аудита на удаленном компьютере.
С:\> auditpol /disable
Running ...
Local audit information changed successfully ...
New local audit policy . . .
(0) Audit Disabled
AuditCategorySystem = No
AuditCategoryLogon = Failure
AuditCategoryObjectAccess = No
Закончив работу, взломщик может снова включить режим аудита с помощью
команды auditpol /enable.
