Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA INF2 - STYCZEŃ 2021 (test 3)



PYTANIE NR 40.
Aby w systemie Windows Server zarejestrować udane i nieudane próby logowania użytkowników oraz operacje na zasobach dyskowych, należy skonfigurować dziennik
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
Zdarzenia dotyczące udanych i nieudanych logowań oraz audytu dostępu do obiektów (np. plików i folderów na dysku) są klasyfikowane jako zdarzenia bezpieczeństwa.
Dlatego ich rejestracja i analiza odbywa się w dzienniku zabezpieczeń, a nie w dziennikach "systemu" czy "aplikacji".

Pełne wyjaśnienie:

W Windows Server mechanizmy audytu dzielą zdarzenia na kategorie. Dwie wskazane w pytaniu grupy to:

  • Logowanie użytkowników (udane i nieudane próby logowania) – są to zdarzenia istotne z punktu widzenia bezpieczeństwa, bo pokazują kto, kiedy i skąd próbował uzyskać dostęp.
  • Operacje na zasobach dyskowych rozumiane jako audyt dostępu do obiektów (np. plików/folderów) – po włączeniu odpowiednich zasad audytu i ustawieniu wpisów SACL dla obiektu, system zapisuje informacje o próbach dostępu.

Takie zdarzenia są zapisywane w dzienniku zabezpieczeń (Security). To właśnie ten dziennik jest przeznaczony do rejestrowania informacji o zdarzeniach związanych z uwierzytelnianiem, autoryzacją oraz audytem dostępu do obiektów.

Pozostałe odpowiedzi są typowymi dziennikami, ale dotyczą innych klas zdarzeń:

  • "systemu" – zawiera zdarzenia komponentów systemu operacyjnego (np. sterowniki, usługi, błędy systemowe). Nie jest podstawowym dziennikiem dla audytu logowań i dostępu do obiektów.
  • "aplikacji i usług" – to dzienniki specyficzne dla poszczególnych aplikacji/rol serwerowych i usług. Mogą zawierać diagnostykę, ale nie zastępują centralnego dziennika audytu bezpieczeństwa.
  • "ustawień" – taka nazwa nie odpowiada standardowym głównym dziennikom, w których analizuje się audyt logowania i dostęp do obiektów; łatwo pomylić ją z miejscem konfiguracji zasad, ale nie jest to właściwy dziennik zdarzeń dla tego typu wpisów.

W praktyce, aby uzyskać wpisy o dostępie do plików, trzeba nie tylko wskazać dziennik, ale też włączyć odpowiednie ustawienia audytu oraz skonfigurować audyt na obiekcie. Jednak niezależnie od konfiguracji, zdarzenia te są raportowane jako zdarzenia bezpieczeństwa i trafiają do dziennika zabezpieczeń.

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co to jest dziennik zabezpieczeń w Windows Server?
Dziennik Zabezpieczenia (Security) to część Windows Event Log, w której system zapisuje zdarzenia audytu związane z bezpieczeństwem: m.in. logowania, użycie uprawnień, zmiany kont, a także dostęp do obiektów po włączeniu audytu. To podstawowe źródło do analizy incydentów.
Jakie zdarzenia logowania trafiają do dziennika zabezpieczeń?
Do dziennika zabezpieczeń trafiają zarówno udane, jak i nieudane próby logowania (lokalne, zdalne, przez usługi), o ile włączony jest audyt logowania. Dzięki temu można wykrywać np. ataki brute force i nietypowe logowania poza godzinami pracy.
Dlaczego zdarzenia dostępu do plików nie są w dzienniku systemu?
Dostęp do plików i folderów jest zdarzeniem bezpieczeństwa (autoryzacja do obiektu), a nie zdarzeniem diagnostycznym systemu. Dziennik "System" opisuje głównie działanie komponentów systemu (sterowniki, usługi). Audyt obiektów raportuje się w dzienniku zabezpieczeń.
Jak włączyć audyt dostępu do plików na serwerze?
Trzeba wykonać dwa kroki: (1) włączyć odpowiednią politykę audytu (Object Access) w ustawieniach zabezpieczeń, (2) ustawić audyt na konkretnym pliku/folderze (SACL) wskazując, jakie działania i dla kogo mają być logowane. Wpisy pojawią się w dzienniku zabezpieczeń.
Czy samo włączenie audytu wystarczy, aby logować operacje na zasobach dyskowych?
Nie zawsze. W praktyce samo włączenie polityki audytu bez ustawienia audytu na obiekcie (SACL) może nie generować zdarzeń dla konkretnych plików/folderów. Dopiero po wskazaniu obiektów i akcji do śledzenia system zaczyna rejestrować odpowiednie wpisy w dzienniku zabezpieczeń.
Jak odróżnić dziennik Aplikacja, System i Zabezpieczenia?
Aplikacja gromadzi zdarzenia aplikacji, System – komponentów systemu i sterowników, a Zabezpieczenia – zdarzenia audytu bezpieczeństwa (logowania, uprawnienia, dostęp do obiektów). Na egzaminie INF.2 zwykle chodzi o wskazanie, gdzie szukać śladów działań użytkowników.
Gdzie w Windows Server sprawdza się nieudane próby logowania?
Najczęściej w Podglądzie zdarzeń (Event Viewer) w gałęzi Dzienniki systemu Windows → Zabezpieczenia. Tam znajdują się wpisy audytu logowania. W środowiskach domenowych warto pamiętać, że zdarzenia mogą pojawić się na kontrolerze domeny lub na serwerze docelowym, zależnie od scenariusza.
Czy dziennik "Aplikacje i usługi" może zawierać informacje o logowaniu?
Może zawierać dodatkowe, specyficzne logi niektórych ról/usług, ale standardowy audyt logowania i dostępu do obiektów jest zapisywany jako zdarzenia bezpieczeństwa. Dlatego jako odpowiedź egzaminacyjna na logowanie użytkowników zwykle właściwy jest dziennik Zabezpieczenia.
Jakie są najczęstsze błędy na egzaminie przy pytaniach o dzienniki zdarzeń?
Najczęściej myli się dziennik System z Zabezpieczenia, bo "logowanie" kojarzy się z systemem. Drugi błąd to pomieszanie konfiguracji zasad audytu z miejscem zapisu logów. Warto zapamiętać: działania użytkownika i uprawnienia → przede wszystkim Security.
Jak przygotować się do pytań INF.2 o audyt i logi Windows Server?
Przećwicz w laboratorium: włącz audyt logowania, wykonaj kilka udanych i nieudanych logowań, a potem odszukaj wpisy w Event Viewer. Następnie włącz audyt dostępu do obiektów i ustaw SACL na folderze testowym. Umiejętność wskazania właściwego dziennika przychodzi najszybciej przez praktykę.
info

Statystycznie 58% uczniów zna prawidłową odpowiedź. średnie

Źródła:

  • Microsoft Learn: "Windows security auditing" (sekcje dotyczące Logon/Logoff oraz Object Access), https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview - accessed 2026-02-27
  • Microsoft Learn: "Audit logon events" (policy description and behavior), https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-logon - accessed 2026-02-27
  • Microsoft Learn: "Windows Event Log" / Event logging overview (rola dzienników i Event Viewer), https://learn.microsoft.com/en-us/windows/win32/eventlog/event-logging - accessed 2026-02-27

Materiały:

  • Dokumentacja Microsoft Learn: Windows security auditing (kategorie Logon/Logoff i Object Access)
  • Dokumentacja Microsoft Learn: Event logs / Windows Event Log overview
  • Ćwiczenia praktyczne: włączenie audytu logowania i dostępu do obiektów oraz analiza wpisów w Event Viewer
Zobacz też:

Aktualizacja pytania: 31.03.2026

Aktualizacja pytania: 31.03.2026
📡 Brak połączenia internetowego