审核在远程客户端设备上执行的操作
程序允许对管理员在远程 Windows 客户端设备上的操作启用审核。审核期间,应用程序会保存设备上由管理员打开和/或修改过的文件的相关信息。当满足以下条件时,管理员操作审核可用:
- 漏洞和补丁管理授权许可正在使用中。
- 管理员有权启动共享访问远程设备的桌面。
启用审核在远程客户端设备上执行的操作:
- 在控制台树中,选择应该为其配置管理员操作审核的管理组。
- 在该组的工作区中,选择“策略”选项卡。
- 选择 Kaspersky Security Center 网络代理的策略,然后在策略的上下文菜单中选择“属性”。
- 在策略属性窗口中,选择“Windows 桌面共享”区域。
- 选择“启用审计”复选框。
- 在“读取时要监控的文件掩码”和“修改时要监控的文件掩码”列表中,添加文件掩码,应用程序在审核期间必须在文件掩码上监视操作。
默认情况下,应用程序监控对扩展名为 txt、rtf、doc、xls、docx 、xlsx、odt 和 pdf 的文件执行的操作。
- 单击“确定”保存更改并关闭策略属性窗口。
因此,配置了管理员在共享桌面访问远程设备上的操作审核。
远程设备上的管理员操作是被一一记录下来的:
- 在远程设备的事件日志中。
- 在远程设备上网络代理文件夹中扩展名为 syslog 的文件中(例如:C:\ProgramData\KasperskyLab\adminkit\1103\logs)。
- 在 Kaspersky Security Center 事件数据库中。
页顶