В ОПЕРАЦИОННОЙ СИСТЕМЕ WINDOWS 7

 

Цель работы: знакомство с организацией аудита информационных процессов в сетевых операционной системе Windows 7

Теоретическая часть

Журналы событий

Аудит — это процесс, позволяющий фиксировать события, происходящие в ОС. Сообщения о критических событиях таких, как переполнение жесткого диска или сбой в питании компьютера выдаются на экран дисплея. Однако большинство событий записывается в три журнала событий (рис. 1.1).

 

 

Рис. 1.1. Журналы событий

 

Журналы аудита в Windows 7:

· Приложение — записываются события о утилитах которые устанавливаются с операционной системой

· Безопасность — записываются события о входе и выходе из Windows и фиксирование доступа к ресурсам.

· Установка — записываются события о установке и удалении компонентов Windows.

· Система — записываются системные события. Например сетевые оповещения или сообщения обновления антивируса Microsoft Antimalware

· Перенаправленные события — записываются события перенаправленные с других компьютеров. То есть на одном компьютере администратора сети можно отслеживать события о других компьютерах в сети если сделать перенаправление

Просмотр событий – достаточно мощный инструмент, который может ответить на вопросы при возникновении затруднений в работе системы.

Чтобы открыть окно «Просмотр событий», откройте Панель управления. Щелкните категорию Счётчики и средства производительности -> Дополнительные результаты -> Просмотр сведений о производительности в журнале событий.

По умолчанию системный журнал и журнал приложений могут просматривать все пользователи, журнал безопасности — только администраторы. Пользователи с привилегией управления аудитом и журналом безопасности могут читать и очищать журнал безопасности (по умолчанию это только администраторы) (табл. 1.1).

Таблица 1.1

Права доступа пользователей

Права доступа	Журнал
	Системный			Безопасности			Приложений
	Чтение	Запись	Очистка	R	W	C	R	W	C
System	+	+	+	+	+	+	+	+	+
Администраторы	+	+	+	+		+	+	+	+
Операторы сервера	+		+				+	+	+
Все	+						+	+

 

 

Рис. 1.2. Свойства события

 

При запуске их открывает и блокирует ОС.

В журнал для событий записывается следующая информация.

- тип события;

- дата;

- время;

- источник, т.е. ПО, произведшее запись;

- категория;

- код события;

- имя пользователя, действия которого привели к возникновению события;

- имя компьютера, где произошло событие.

 

При нажатии левой клавиши мыши на определенном событии из журнала можно получить более детальную информацию о данном событии (рис. 1.2).

Командой «Сохранить файл журнала как» можно сохранить данные в текстовом виде.

В свойствах журнала можно определить действия при заполнении файла данного журнала (рис. 1.3):

- перезаписывать события при необходимости (сначала старые);

- Архивировать журнал при заполнении, не перезаписывать события;

- не перезаписывать события (очистка журнала вручную).

Для сортировки и фильтрации служит вкладка «Фильтр» свойств журнала (рис. 1.4).

 

Рис. 1.3. Окно свойств журнала

Рис. 1.4. Настройка фильтрации событий журнала

 

 Включение аудита доступа пользователей к файлам,

Папкам и принтерам

 

Информационные записи системного аудита заносятся в журнал событий "Безопасность". Для включения системного аудита выполните следующие действия:

1. В меню "Пуск" выберите пункт "Панель управления", откройте группу программ "Администрирование".

2. Откройте элемент "Локальная политика безопасности".

3. Разверните элемент "Локальные политики".

4. Выберите папку "Политика аудита".

5. Двойным щелчком мыши откройте параметр "Аудит доступа к объектам".

6. Для отслеживания удачных попыток доступа к файлам, папкам и принтерам установите флажок "Успех".

7. Для отслеживания неудачных попыток доступа к файлам, папкам и принтерам установите флажок "Отказ".

8. Для отслеживания всех попыток доступа к объектам аудита установите оба флажка.

9. Нажмите кнопку "ОК".

 

Рис. 1.5. Аудит события доступа к объектам

 

 

⇐ Предыдущая12345Следующая ⇒

Поделиться: