КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Настройка аудита выполняется в два этапа
|
|
|
|
1. Задание политики аудита. Политика аудита разрешает аудит объектов, но не инициирует аудит заданных объектов.
2. Разрешения аудита заданных ресурсов. Для файлов, папок, принтеров и объектов Active Directory назначаются конкретные события, подлежащие регистрации. После этого Windows XP Professional начинает отслеживать заданные события и регистрировать их в журнале.
Практические задания:
Задание 1. Активизируйте аудит конкретных событий.
1. Войдите в систему как администратор.
2. Откройте консоль Локальные параметры безопасности (Панель управление-Администрирование). Раскройте группу Локальные политики - Политики аудита.
3. В правой части консоли последовательно выбирайте политики, выполнив 2ЩМ. Используя вкладку Объяснение параметра запишите объяснения указанных параметров
| Отслеживаемое действие | Успешное | Неудачное | Объяснение параметра |
| Аудит входа в систему | * | ||
| Аудит доступа к объектам | * | * | |
| Аудит системных событий | * | * | |
| Аудит управления учетными записями | * | * |
4. Активизируйте аудит для указанных событий. Используйте вкладку Параметр локальной безопасности.
5. Перезагрузите компьютер.
Задание 2: Назначение аудита файлов
Включите аудит для текстового файла.
1. Создайте текстовый файл с именем Audit.rtf в папке своей группы, запишите номер группы.
2. Щелкните созданный файл правой кнопкой мыши и выберите в контекстном меню команду Свойства.
3. В окне свойств перейдите на вкладку Безопасность и щелкните кнопку Дополнительно. Если отсутствует вкладка Безопасность, снимите флажок - Использовать простой общий доступ к файлам в окне свойства папки.
4. ЩМ по кнопке Дополнительно. В окне Дополнительные параметры управления доступом перейдите на вкладку Аудит.
|
|
|
5. Щелкните кнопку Добавить - кнопка Дополнительно.
6. Кнопка Поиск – В списке пользователей выберете – Все – ОК- ОК
7. В окне Элемент аудита для файла Audit пометьте флажки Успех и Отказ для каждого из следующих событий:
· Create Files/Write Data (Создание файлов/Запись данных);
· Delete (Удаление);
· Change Permissions (Смена разрешений);
· Take Ownership (Смена владельца).
8. Щелкните ОК. Группа Все появится в окне Дополнительные параметры безопасности.
9. Щелкните Применить- OK.
Задание 3: измените разрешения NTFS для файла
1. Удаление доступа к диску С: всех пользователей. Удалите полный доступ к диску С: ЩПКМ в контекстном меню выберете Свойство вкладка Безопасность. В списке пользователей выбираем Все – нажимаем кнопку Удалить
2. Создайте пользователя USER1_ Audit без пароля
3. Создайте пользователя USER2_ Audit с паролем 123
4. В окне свойств измените разрешения для файла Audit, чтобы USER1_ Audit имел только право Чтение и выполнение (Вкладка Безопасность – Добавить – USER1_ Audit - Разрешить – Чтение и выполнение- Применить-ОК).
5. Войдите под пользователем USER_ Audit_1 и попробуйте удалить файл,
6. Откройте документ, допишите свое ФИО и попробуйте сохранить изменения.
7. Войдите под пользователем USER_ Audit_2 со второй попытки, преднамеренно введя неправильно пароль
8. Снова войти под Администратором
Задание 4. Выполните просмотр событий.
- Откройте оснастку Управление компьютером (Пуск/Администрирование/Управление компьютером).
- Разверните узел Просмотр событий.
- Просмотрите события журнала Б езопасность.
- Справа отобразятся все события данной службы.
- выполните фильтрацию событий только для пользователя USER1_ Audit:
- откройте диалоговое окно свойств раздела Безопасность (Действия/Свойства);
- перейдите на вкладку Фильтр; введите в поле Пользователь имя пользователя, для которого необходимо отобразить события, например USER1_ Audit;
- подтвердите применение фильтра кнопкой ОК.
- по номеру определите события, которые совершал пользователь, отметьте их в списке событий, который находится в конце работы.
- снимите установленный ранее фильтр:
- откройте диалоговое окно свойств раздела Безопасность;
- перейдите на вкладку Фильтр;
- восстановите стандартные значения кнопкой Восстановить умолчания;
- закройте диалоговое окно свойств раздела Безопасность кнопкой ОК.
- выполните 2ЩМ по первому событию и определите время и код события, попытки входа в систему пользователя USER2_ Audit
Контрольные вопросы:
|
|
|
1. Найдите файлы, отвечающие за журналы событий.
2. Как открыть для просмотра журналы событий?
3. Как отсортированы события в журнале? Как изменить порядок сортировки?
4. Как получить дополнительные сведения о событиях?
5. На какие два этапа подразделяется установка аудита?
6. Как активизировать аудит конкретного события?
7. Как задать аудит для файла?
8. Как осуществить фильтрацию событий для конкретного пользователя?
9. Как просмотреть попытки входа в систему?
Таблица 1. События управления учетными записями
| Код события | Описание события |
| Создана учетная запись пользователя. | |
| Изменен пароль пользователя. | |
| Задан пароль пользователя. | |
| Удалена учетная запись пользователя. | |
| Создана локальная группа. | |
| В локальную группу добавлен член. | |
| Из локальной группы удален член. | |
| Удалена локальная группа. | |
| Изменена учетная запись локальной группы. | |
| Изменена учетная запись пользователя. | |
| Изменено имя учетной записи. |
В таблице 2 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита событий входа в систему.
Таблица 2. События аудита входа в систему
| Код события | Описание события |
| Пользователь успешно вошел в систему. | |
| Сбой при входе в систему. Предпринята попытка входа в систему с использованием неизвестного имени пользователя или известного имени пользователя с неправильным паролем. | |
| Сбой при входе в систему. Предпринята попытка входа в систему вне допустимого интервала времени. | |
| Сбой при входе в систему. Предпринята попытка входа в систему с отключенной учетной записью. | |
| Сбой при входе в систему. Предпринята попытка входа в систему с устаревшей учетной записью. | |
| Сбой при входе в систему. В систему попытался войти пользователь, не имеющий на это права. | |
| Сбой при входе в систему. Пользователь попытался войти в систему с использованием пароля недопустимого типа. | |
| Сбой при входе в систему. Пароль указанной учетной записи устарел. | |
| Сбой при входе в систему. Попытка входа в систему завершилась неудачей по иным причинам. | |
| Процесс выхода пользователя из системы завершен. | |
| Сбой при входе в систему. Ко времени попытки входа в систему учетная запись была заблокирована. | |
| Работа в основном режиме завершена. | |
| Пользователь инициировал процесс выхода из системы. | |
| Пользователь успешно вошел в систему с явно заданными учетными данными, уже будучи зарегистрированным в системе в качестве другого пользователя. |
В таблице 3 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита событий доступа к объектам.
|
|
|
Таблица 3. События доступа к объектам
| Код события | Описание события |
| Предоставлен доступ к существующему объекту. | |
| Закрыт дескриптор объекта. | |
| Выполнена попытка открыть объект с целью его удаления. | |
| Удален защищенный объект. | |
| Предоставлен доступ к существующему типу объекта. | |
| Использовано разрешение, связанное с дескриптором. Дескриптор создается с определенными разрешениями (например разрешениями на чтение и запись). При использовании дескриптора для каждого из использованных разрешений может быть создана запись аудита. | |
| Клиент попытался получить доступ к объекту. Это событие формируется при каждой попытке выполнения операции над объектом. |
В таблице 4 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита событий изменения политики безопасности.
|
|
|
Таблица 4. События аудита изменения политики
| Код события | Описание события |
| Предоставлено право пользователя. | |
| Удалено право пользователя. | |
| Изменена политика аудита. | |
| Изменена политика восстановления зашифрованных данных. | |
| Учетной записи предоставлен доступ к системе. | |
| Для учетной записи заблокирован доступ к системе. | |
| Политика аудита задана для каждого пользователя. |
В таблице 5 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита событий отслеживания процессов.
Таблица 5. События отслеживания процессов
| Код события | Описание события |
| Создан процесс. | |
| Процесс завершил работу. | |
| Пользователь попытался установить службу. | |
| Создано задание планировщика. |
В таблице 6 приведены основные события безопасности, которые регистрируются в журнале безопасности, если задана политика аудита системных событий.
Таблица 6. Сообщения о системных событиях для аудита системных событий
| Код события | Описание события |
| Запуск системы Windows. | |
| Завершение работы системы Windows. | |
| Внутренние ресурсы, выделенные очереди сообщений о событиях безопасности, исчерпались, что привело к утрате некоторых сообщений о событиях безопасности. | |
| Очищен журнал аудита. | |
| Изменено системное время. |
|
|
|
|
|
Дата добавления: 2015-07-13; Просмотров: 658; Нарушение авторских прав?; Мы поможем в написании вашей работы!