КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Аудит событий в системе Windows
|
|
|
|
В Windows выделяют следующие журналы аудита:
1.Приложений (Application Eventlog) – хранится в файле Windows\systems32\config\AppEvent.evt
2. Безопасности (Security Eventlog) – хранится в файле Windows\systems32\config\SecEvent.evt
3. Системы (System Eventlog) - хранится в файле Windows\systems32\config\SysEvent.evt
Правила аудита в Windows определяют, аудит каких событий необходим. В Windows политика аудита в ОС настраивается во вкладке ПОЛИТИКА АУДИТА. Для ее вызова необходимо войти ПАНЕЛЬ УПРАВЛЕНИЯ -> АДМИНИСТРИРОВАНИЕ -> ЛОКАЛЬНАЯ ПОЛИТИКА БЕЗОПАСНОСТИ -> ЛОКАЛЬНЫЕ ПОЛИТИКИ -> ПОЛИТИКА АУДИТА. По умолчанию аудит для всех событий выключен. Для изменения политики аудита необходимо дважды щелкнуть по соответствующей записи
Аудит доступа к файлам и объектам
Аудит доступа к файлам и объектам определяет политику аудита для отдельно взятых объектов доступа. Для разрешения аудита таких объектов, как файл или принтер, необходимо сначала разрешить аудит этих событий в правилах аудита, а затем настроить аудит конкретных объектов доступа. Аудит файловых систем настраивается для каждого объекта. Для того чтобы настроить аудит для некоторого объекта (например, каталога), необходимо выбрать данный объект, в меню СВОЙСТВА выбрать раздел БЕЗОПАСНОСТЬ, щелкнуть по кнопке ДОПОЛНИТЕЛЬНО и выбрать раздел АУДИТ.
С помощью кнопки ДОБАВИТЬ возможно указание того, какие операции (успех либо отказ) для каких субъектов, должны протоколироваться для данного объекта.
Для просмотра журналов безопасности необходимо воспользоваться приложением ПАНЕЛЬ УПРАВЛЕНИЯ -> АДМИНИСТРИРОВАНИЕ -> ПРОСМОТР СОБЫТИЙ, после чего выбрать требуемый журнал.
В состав дескриптора защиты может входить системный список контроля доступа (SACL), определяющий порядок регистрации событий аудита при доступе субъектов к данному объекту. Так же как и DACL, SACL представляет собой список переменной длины, элементами которого являются АСЕ, имеющие следующий формат:
|
|
|
| регистрировать | идентификатор субъекта | права доступа | Флаги |
В отличие от АСЕ из DACL АСЕ в SACL всегда имеют тип "регистрирующий АСЕ" (system audit АСЕ). Поскольку все АСЕ в SACL однотипны, порядок их взаимного расположения не имеет значения.
При определении политики аудита следует иметь в виду, что адекватность политики аудита заключается не в том, что регистрируется много событий, а в том, что регистрируется ровно столько событий, сколько необходимо. Если подсистема аудита регистрирует слишком много событий, то, с одной стороны, журнал аудита переполняется слишком быстро, а с другой - аудитору трудно выделить в огромном объеме малозначительной информации действительно важные событий. Типичная ошибка при определении политики аудита заключается в том, что устанавливается регистрация всех обращений всех субъектов доступа ко всем файлам и поддиректориям системной директории. При такой политике аудита журнал аудита переполняется в считанные минуты.
Общие рекомендации по формированию политики аудита:
1. Вход и выход пользователей из системы должен регистрироваться в любом случае.
2. Доступ субъектов к объектам целесообразно регистрировать только в том случае, когда имеются обоснованные подозрения, что один или несколько пользователей злоупотребляют своими полномочиями. В этом случае следует установить регистрацию обращений этих пользователей к тем объектам, к которым они, возможно, несанкционированно обращаются. Если же таких подозрений нет, регистрацию доступа субъектов к объектам целесообразно отключить.
3. Необходимо регистрировать использование субъектами опасных привилегий.
|
|
|
4. Успешные попытки внесения изменений в список пользователей должны регистрироваться в любом случае.
5. Изменения в политике безопасности должны регистрироваться обязательно.
6. Регистрировать запуск и завершение процессов имеет смысл только в том случае, когда есть обоснованные подозрения, что операционная система атакована вирусом.
Эти рекомендации не следует рассматривать как догму. Адекватная политика аудита в конкретной реализации операционной системы может заметно отличаться от вышеописанной.
|
|
|
|
Дата добавления: 2014-01-11; Просмотров: 1348; Нарушение авторских прав?; Мы поможем в написании вашей работы!