Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
АУДИТ ИНФОРМАЦИОННЫХ ПРОЦЕССОВСтр 1 из 5Следующая ⇒
ЛАБОРАТОРНАЯ РАБОТА №2
АУДИТ ИНФОРМАЦИОННЫХ ПРОЦЕССОВ В ОПЕРАЦИОННОЙ СИСТЕМЕ WINDOWS 7
Цель работы: знакомство с организацией аудита информационных процессов в сетевых операционной системе Windows 7 Теоретическая часть Журналы событий Аудит — это процесс, позволяющий фиксировать события, происходящие в ОС. Сообщения о критических событиях таких, как переполнение жесткого диска или сбой в питании компьютера выдаются на экран дисплея. Однако большинство событий записывается в три журнала событий (рис. 1.1).
Рис. 1.1. Журналы событий
Журналы аудита в Windows 7: · Приложение — записываются события о утилитах которые устанавливаются с операционной системой · Безопасность — записываются события о входе и выходе из Windows и фиксирование доступа к ресурсам. · Установка — записываются события о установке и удалении компонентов Windows. · Система — записываются системные события. Например сетевые оповещения или сообщения обновления антивируса Microsoft Antimalware · Перенаправленные события — записываются события перенаправленные с других компьютеров. То есть на одном компьютере администратора сети можно отслеживать события о других компьютерах в сети если сделать перенаправление Просмотр событий – достаточно мощный инструмент, который может ответить на вопросы при возникновении затруднений в работе системы. Чтобы открыть окно «Просмотр событий», откройте Панель управления. Щелкните категорию Счётчики и средства производительности -> Дополнительные результаты -> Просмотр сведений о производительности в журнале событий. По умолчанию системный журнал и журнал приложений могут просматривать все пользователи, журнал безопасности — только администраторы. Пользователи с привилегией управления аудитом и журналом безопасности могут читать и очищать журнал безопасности (по умолчанию это только администраторы) (табл. 1.1). Таблица 1.1 Права доступа пользователей
Рис. 1.2. Свойства события
При запуске их открывает и блокирует ОС. В журнал для событий записывается следующая информация. - тип события; - дата; - время; - источник, т.е. ПО, произведшее запись; - категория; - код события; - имя пользователя, действия которого привели к возникновению события; - имя компьютера, где произошло событие.
При нажатии левой клавиши мыши на определенном событии из журнала можно получить более детальную информацию о данном событии (рис. 1.2). Командой «Сохранить файл журнала как» можно сохранить данные в текстовом виде. В свойствах журнала можно определить действия при заполнении файла данного журнала (рис. 1.3): - перезаписывать события при необходимости (сначала старые); - Архивировать журнал при заполнении, не перезаписывать события; - не перезаписывать события (очистка журнала вручную). Для сортировки и фильтрации служит вкладка «Фильтр» свойств журнала (рис. 1.4).
Рис. 1.3. Окно свойств журнала Рис. 1.4. Настройка фильтрации событий журнала
Включение аудита доступа пользователей к файлам, Папкам и принтерам
Информационные записи системного аудита заносятся в журнал событий "Безопасность". Для включения системного аудита выполните следующие действия: 1. В меню "Пуск" выберите пункт "Панель управления", откройте группу программ "Администрирование". 2. Откройте элемент "Локальная политика безопасности". 3. Разверните элемент "Локальные политики". 4. Выберите папку "Политика аудита". 5. Двойным щелчком мыши откройте параметр "Аудит доступа к объектам". 6. Для отслеживания удачных попыток доступа к файлам, папкам и принтерам установите флажок "Успех". 7. Для отслеживания неудачных попыток доступа к файлам, папкам и принтерам установите флажок "Отказ". 8. Для отслеживания всех попыток доступа к объектам аудита установите оба флажка. 9. Нажмите кнопку "ОК".
Рис. 1.5. Аудит события доступа к объектам
Безопасности.
Аудит доступа к объектам
На дисках, отформатированных с файловой системой NTFS, можно проводить аудит доступа к отдельным файлам и папкам. Это позволяет отследить выполняемые действия, и идентифицировать пользователей, ответственных за эти действия. Включение аудита доступа к объектам в политике аудита не приводит (в отличие от других категорий аудита) к автоматической регистрации событий, связанных с доступом к объектам. Администратору требуется сформировать SACL у объектов, к которым планируется осуществить аудит доступа. ACL (Access Control List) – список контроля доступа, применяются администраторами для управления группами (добавления и удаления пользователей и разрешений). В Windows имеется два вида ACL. · Discretionary access control lists (DACL) - списки разграничительного контроля доступа. Используются для идентификации пользователей и групп, которым разрешен (или запрещен) доступ. · System access control lists (SACL) - системные списки контроля доступа, контролируют проверку доступа. Списки контроля доступа являются удобным инструментом определения того, кто имеет доступ к конкретному объекту, и предоставляют возможность редактировать разрешения. Например, если вы считаете, что новый лазерный принтер не должен использоваться никем, кроме работников отделения маркетинга, то для приведения в действие этих ограничений можно использовать ACL. В свойствах файла или папки необходимо выбрать вкладку «Безопасность», нажать кнопку «Дополнительно» и выбрать лист «Аудит». Для настройки аудита для нового пользователя или группы нажмите кнопку «Добавить». Выберите имя нужного пользователя или группы. В окне «Элемент аудита» можно указать необходимые параметры аудита. В поле «Применить» укажите, где следует выполнять аудит (это поле ввода доступно только для папок). В группе «Доступ» укажите, какие события следует отслеживать: окончившиеся успехом или отказом или оба типа событий. Флажок «Применить этот аудит к объектам и контейнерам только в пределах данного контейнера» определяет, распространяются ли введенные вами настройки аудита на файлы и папки вниз по дереву каталогов файловой системы. Для отключения аудита файла или папки в окне «Дополнительные параметры безопасности» выберите нужную запись и нажмите кнопку «Удалить». Если она недоступна, то настройки аудита наследуются от родительской папки. Если вы хотите просмотреть или изменить настройки аудита для уже существующего пользователя или группы, нажмите кнопку «Изменить». Имеются взаимодополняющих друг друга событий - событие «Открытие объекта (4662)» фиксирует открытие объекта, а событие «Закрытие дескриптора» (562) - его закрытие.
Группа | Предопределенные права | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Администраторы | Доступ к компьютеру из сети Настройка квот памяти для процесса Разрешение входа в систему через службу терминалов Архивирование файлов и каталогов Обход перекрестной проверки Изменение системного времени Создание файла подкачки Отладка программ Принудительное удаленное завершение Увеличение приоритета диспечеризации Загрузка и выгрузка драйверов устройств Локальный вход в систему Управление аудитом и журналом безопасности Изменение параметров среды оборудования Запуск операций по обслуживанию тома Профилирование одного процесса Профилирование загруженности системы Извлечение компьютера из стыковочного узла Восстановление файлов и каталогов Завершение работы системы Овладение файлами или иными объектами | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Операторы архива | Доступ к компьютеру из сети Архивация файлов и каталогов Обход перекрестной проверки Локальный вход в систему Восстановление файлов и каталогов Завершение работы системы | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Все | Доступ к компьютеру из сети Обход перекрестной проверки | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Гость (учетная запись) | Отклонить локальный вход Отказ в доступе к компьютеру из сети Локальный вход в систему | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Опытные пользователи | Доступ к компьютеру из сети Обход перекрестной проверки Изменение системного времени Локальный вход в систему Профилирование одного процесса Извлечение компьютера из стыковочного узла Завершение работы системы | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Пользователи удаленного рабочего стола | Разрешение входа в систему через службу терминалов | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Пользователи | Доступ к компьютеру из сети Обход перекрестной проверки Локальный вход в систему Извлечение компьютера из стыковочного узла Завершение работы системы | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Не присвоены ни одной группе | Добавление рабочих станций к домену Закрепление страниц в памяти Запретить вход в систему через службу терминалов Отказ во входе в качестве пакетного задания Отказ во входе в качестве службы Работа в режиме операционной системы Разрешение доверия к учетным записям при делегировании Синхронизация данных службы каталогов Создание маркерного объекта Создание постоянных объектов совместного использования | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Аудит системных событий
В данную категорию входят следующие события:
- перезапуск операционной системы;
- завершение работы операционной системы;
- загрузка пакета проверки подлинности;
- регистрация процесса проверки подлинности пользователя при входе в систему;
- очистка журнала безопасности;
- загрузка пакета уведомления обо всех изменениях в учетных записях пользователя.
Порядок выполнения работы
1. Познакомьтесь с программой просмотра событий. Познакомьтесь с различными видами журналов, их структурой. Приведите отрывки журналов в отчете, дайте интерпретацию отдельных записей журналов.
2. Познакомьтесь с возможностями настройки журналов, параметрами фильтрации записей. Сохраните журнал в текстовом виде и экспортируйте его в Excel.
3. Ознакомьтесь с аудитом доступа к объектам. Установите определенные права аудита на созданный Вами каталог и вложенные в него файлы. Приведите их в вашем отчете. Произведите операции с этими файлами, приведите их в отчете и проанализируйте события появляющиеся в журнале безопасности.
4. Познакомьтесь с аудитом системных событий
Требования к отчету
Отчет должен оформляться в электронном и печатном виде на листах формата А4 и содержать задание, краткие необходимые теоретические сведения, полученные по каждому пункту задания результаты и выводы.
Результаты исследования отдельных категорий аудита должны включать описание, как проводились исследования, примеры различных событий данной категории, интерпретацию информации, выдаваемой для отдельных событий, анализ связи отдельных событий, полученные результаты и сделанные результаты и выводы.
________________________________________________________________________
Контрольные вопросы
1. Назовите журналы, используемые в Windows.
2. Что отражается в журналах Windows?
3. Какие категории пользователей имеют возможность доступа к журналам Windows?
4. В каком виде хранится информация в журналах. Как можно ее просмотреть?
5. Как сохранить журнал в текстовом виде?
6. Каков размер журналов? Как его можно изменить?
7. Какие возможны случаи при переполнении журнала?
8. По каким критериям может осуществляться фильтрация событий в журнале?
9. Что такое SACL?
10. Как происходит обработка ACL в SACL?
11. Как производится включение и настройка аудита в Windows?
12. Какие категории событий могут отслеживаться в Windows?
13. Как производится настройка аудита обращений к файлам?
14. Какие события, связанные с обращением к файлам могут отслеживаться?
15. Какая информация приводится в журналах?
16. Прокомментируйте записи в журнале безопасности, соответствующие входу в систему.
17. Прокомментируйте записи в журнале безопасности, соответствующие аудиту управления учетными записями.
18. Дайте интерпретацию проанализированных вами записей в журнале безопасности, связанных с созданием процессов.
19. Дайте интерпретацию проанализированных вами записей в журнале безопасности, соответствующих обращению к файлам.
20. Какую информацию можно получить из полей код дескриптора, код процесса, код входа?
21. Почему в событиях может записываться информация о двух пользователях?
22. В каких категориях событий не предусмотрен аудит неудачи?
23. Производится ли в Windows аудит резервного копирования?
24. Какие специальные привилегии не отслеживаются в журнале?
25. Какие типы событий необходимо включить для отслеживания изменения файлов, просмотра владельца и ACL, изменения прав доступа?
26. Какие виды доступа к файлам и папкам могут отслеживаться в Windows?
27. Какие типы учетных записей используются в Windows? Какие права предоставляет каждый тип?
ЛАБОРАТОРНАЯ РАБОТА №2
АУДИТ ИНФОРМАЦИОННЫХ ПРОЦЕССОВ
Последнее изменение этой страницы: 2019-03-21; Просмотров: 658; Нарушение авторского права страницы