 |
Аудит доступа к файлам и папкам
|
|
|
|
АУДИТ РЕСУРСОВ И СОБЫТИЙ СИСТЕМЫ ЗАЩИТЫ
1 Цель работы: является получение навыков по созданию политики аудита и управлению аудитом ресурсов и событий защищенной операционной системы Windows XP.
Общие положения
2.1. Понятие и свойства аудита ресурсов и событий
Аудит – одна из функций групповой политики Windows XP Professional. Подсистема аудита (auditing) – это инструмент, предназначенный для поддержания безопасности в сети и позволяющий отслеживать действия пользователей, а также действия операционной системы Windows XP Professional, называемые событиями (events). Средствами аудита можно задать режим, при котором Windows XP Professional регистрирует события в журнале безопасности (security.log). В нем хранятся записи об успешных и неудачных попытках входа в систему и о таких событиях, как создание, открытие и закрытие файлов или других объектов. Запись аудита в журнале безопасности содержит данные о:
• выполненных операциях;
• пользователях, выполнивших операцию;
• успешном или неуспешном выполнении операции, кроме того, указывается время, когда произошло данное событие.
Планирование политики аудита
Понятие о политике аудита
Политика аудита (audit policy) задает типы событий системы безопасности, которые Windows XP Professional регистрирует в журнале безопасности каждого компьютера. Журнал безопасности позволяет отслеживать заданные события.
Система Windows XP Professional регистрирует событие в журнале безопасности того компьютера, на котором событие происходит. Так, каждый раз, когда кто-нибудь пытается войти в систему и попытка входа оказывается неудачной, Windows XP Professional регистрирует событие в журнале безопасности данного компьютера.
Можно настроить политику аудита для данного компьютера на выполнение следующих операций:
|
|
|
• выявление успешных или неудачных действий, например попыток входа пользователей в систему или отдельного пользователя прочитать указанный файл, изменения учетной записи пользователя или принадлежности к группе, изменение параметров безопасности;
• исключение или минимизация риска неавторизованного использования ресурсов.
Для просмотра событий, зарегистрированных системой Window-XP Professional в журнале безопасности, используется утилита. Просмотр событий (Event Viewer). Можно также сохранять файлы журнала в архиве для выяснения закономерностей за указанный период времени – например, чтобы определить частоту использования принтеров или файлов или выявление попыток неавторизованного использования ресурсов.
Определение событий, подлежащих регистрации
При планировании политики аудита нужно определить, какие события следует регистрировать и на каких компьютерах надо установить аудит. По умолчанию аудит отключен.
Можно регистрировать следующие типы событий:
• попытки доступа к файлам и папкам;
• вход в систему и выход из нее;
• выключение компьютера с Windows XP Professional;
• запуск компьютера с Windows XP Professional;
• изменения учетных записей пользователей и групп;
• попытки изменения объектов Active Directory (только если компьютер с Windows XP Professional является частью домена).
После того как типы регистрируемых событий заданы, нужно определить, регистрировать ли успешные действия, неудавшиеся попытки или оба вида событий.
Отслеживание успешных действий дает информацию о том, как часто система Windows XP Professional или пользователи обращаются к конкретным файлам, принтерам или другим объектам; эта информация пригодится для планирования ресурсов.
Регистрация неудачных попыток позволяет выявить слабые места в защите системы. Так, если зафиксировано несколько неудачных попыток входа в систему под определенным именем пользователя, особенно в нерабочее время, можно предположить, что неавторизованный пользователь пытается «взломать» систему. Кроме того, при выборе политики аудита руководствуйтесь правилами:
|
|
|
• Определите, нужно ли отслеживать закономерности загрузки системы. Если да, то предусмотрите сохранение журналов событий в архиве. Это позволит контролировать распределение загрузки по времени и заранее планировать увеличение ресурсов системы.
• Часто просматривайте журналы безопасности. Обязательно установите расписание и регулярно просматривайте журналы безопасности, так как выполнение аудита само по себе не предупреждает о слабых местах в защите системы.
• Задайте информативную и работоспособную политику аудита. Всегда регистрируйте попытки доступа к жизненно важным и конфиденциальным данным. Регистрируйте только те события, которые дают существенную информацию. Это снижает потребление ресурсов компьютера до минимума и упрощает поиск нужной информации. Регистрация большого числа событий может привести к чрезмерной трате системных ресурсов Windows XP Professional.
Реализация политики аудита
Аудит – мощный инструмент для отслеживания событий, происходящих на компьютерах в вашем офисе. Прежде чем применять аудит, следует продумать требования к нему и установить политику аудита. Далее можно выполнять аудит файлов, папок и принтеров.
Конфигурация аудита
На компьютерах с Windows XP Professional политики аудита устанавливаются для каждого компьютера в отдельности. Для установки и администрирования аудита необходимо:
• иметь право пользователя Управление аудитом и журналом безопасности (Manage Auditing And Security Log) на том компьютере, на котором планируется установить политику аудита или просмотреть журнал безопасности. По умолчанию в Windows XP Professional такие права имеет группа Администраторы (Administrators);
• разместить файлы и папки, аудит которых планируется, на томах с файловой системой NTFS.
Настройка аудита
Настройка аудита выполняется в два этапа.
1. Задание политики аудита. Политика аудита разрешает аудит объектов, но не инициирует аудит заданных объектов.
2. Разрешения аудита заданных ресурсов. Для файлов, папок, принтеров и объектов Active Directory назначаются конкретные события, подлежащие регистрации. После этого Windows XP Professional начинает отслеживать заданные события и регистрировать их в журнале.
|
|
|
Установка политики аудита
На первом этапе установки политики аудита в Windows XP Professional необходимо выбрать типы событий, подлежащих регистрации. Для каждого регистрируемого события в параметрах указывается, какие попытки следует отслеживать – успешные или неудачные. Политика аудита на локальном компьютере устанавливается средствами оснастки Групповая политика, которую можно запустить, используя Консоль управления ММС (Microsoft Management Console) и добавив в консоль оснастку Групповая политика (Group Policy). В таблице 2.1 перечислены типы событий, регистрируемые в Windows XP Professional.
Таблица 2.1 – Типы событий, регистрируемых Windows XP Professional
| Событие | Описание |
| Вход в систему под заданной учетной записью | Контроллер домена получил запрос на проверку учетной записи пользователя (применяется только в тех случаях, когда компьютер с Windows XP Professional входит в домен Microsoft Windows 2000) |
| Управление учетными записями | Администратор создал, изменил или удалил учетную запись пользователя или группу. Некоторая учетная запись была переименована, отключена или включена, или для нее был назначен или изменен пароль |
| Доступ к службе каталогов | Пользователь получил доступ к объекту Active Directory. Для регистрации событий этого типа нужно сконфигурировать аудит для определенных объектов Active Directory (Active Directory можно применять, только если компьютер с Windows XP Professional входит в домен Microsoft Windows 2000) |
| Вход в систему | Пользователь локально вошел в систему или вышел из нее, или подключился к компьютеру через сеть (или отключился от него) |
| Доступ к объектам | Пользователь получил доступ к файлу, папке или принтеру. Определенные файлы, папки или принтеры должны быть настроены для аудита. В этом случае регистрируется доступ пользователей к файлам, папкам и принтерам |
| Изменение системной политики | Изменены пользовательские параметры безопасности, права пользователя или политика аудита |
| Использование привилегий | Пользователь применил права, например изменил системное время (в этом случае не подразумеваются права, связанные с регистрацией в системе или с выходом из нее) |
| Отслеживание процесса | Программа выполнила действие. Эта информация важна главным образом для программистов, которым нужно детально проследить выполнение программы |
| Системные события | Пользователь перезапустил или выключил компьютер, или произошло событие, повлиявшее на безопасность Windows XP Professional или на журнал безопасности. Например, журнал аудита переполнился и Windows XP Professional начинает игнорировать поступающие сообщения о событиях |
|
|
|
После настройки параметров политики аудита имейте в виду, что изменения в политике аудита компьютера вступают в силу только после перезагрузки.
Аудит доступа к файлам и папкам
Если требуется выявить слабые места в защите корпоративной сети, можно установить аудит файлов и папок, расположенных на разделах NTFS. Для аудита доступа пользователей к файлам и папкам прежде всего следует настроить политику аудита на регистрацию доступа к объектам, в том числе файлов и папок. При настройке политики аудита на регистрацию доступа к объектам включается аудит конкретных файлов и папок. При этом также указывается, какие виды доступа, пользователи и группы подлежат аудиту.
В таблице 2.2 перечислены действия пользователей, вызывающие соответствующие события, что поможет определить, в каких случаях следует включать аудит этих событий.
Таблица 2.2 – События для файлов и папок, вызываемые действиями пользователей
| Событие | Действие пользователя, вызвавшее событие | |
| Переход в папку/Выполнение файла (Traverse Folder/Execute File) | Запуск программы или получение доступа к папке при смене текущей папки | |
| Получение списка файлов/Чтение данных (List Folder/Read Data) | Просмотр содержимого файла или папки | |
| Чтение атрибутов (Read Attributes) | Просмотр атрибутов файла или папки | |
| Чтение расширенных атрибутов (Read Extended Attributes) | Просмотр атрибутов файла или папки | |
| Создание файлов/Запись данных (Create Files/Write Data) | Изменение содержимого файла или создание новых файлов в папке | |
| Создание папок/Добавление данных (Create Folders/Append Data) | Создание папок внутри папок | |
| Запись атрибутов (Write Attributes) | Изменение атрибутов файла или папки | |
| Запись расширенных атрибутов (Write Extended Attributes) | Изменение атрибутов файла или папки | |
| Удаление вложенных папок и файлов (Delete Subfolders And Files) | Удаление файла или папки внутри папки | |
| Удаление (Delete) | Удаление файла или папки | |
| Чтение разрешений (Read Permissions) | Просмотр прав владельца файла на файл или папку | |
| Смена разрешений (Change Permissions) | Изменение прав доступа к файлу или папке | |
| Смена владельца (Take Ownership) | Изменить право владельца на файл или папку |
Аудит доступа к принтерам
|
|
|
При необходимости отслеживать использование конкретных принтеров включите аудит доступа к принтерам. Чтобы включить аудит доступа к принтерам, в политике аудита настройте аудит доступа к объектам, что включает принтеры.
Включите аудит конкретных принтеров и укажите, какие виды.доступа регистрировать и какие пользователи будут иметь доступ. Для выбранного принтера аудит включается в той же последовательности, что и при установке параметров аудита файлов и папок.
В таблице 2.3 перечислены события, аудит которых возможен для принтеров, и соответствующие этим событиям действия пользователей.
Таблица 2.3 – События для принтеров, вызываемые действиями пользователей
| Событие | Действие пользователя, вызвавшее событие |
| Печать (Print) | Печать файла |
| Управление принтерами (Manage Printers) | Изменение параметров принтера, приостановка печати, разрешение совместного использования принтера, удаление принтера из системы |
| Управление документами (Manage Documents) | Изменение параметров заданий; приостановка или продолжение печати, изменение порядкового номера в очереди или удаление документов; разрешение совместного использования принтера; изменение параметров принтера |
| Чтение разрешений (Read Permissions) | Просмотр прав доступа к принтеру |
| Смена разрешений (Change Permissions) | Изменение прав доступа к принтеру |
| Смена владельца (Take Ownership) | Смена владельца принтера |
2.2. Возможности управления журналом безопасности
Использование утилиты Просмотр событий (Event Viewer)
Утилита Просмотр событий (Event Viewer) применяется для решения различных задач администрирования, в том числе для просмотра журналов аудита, созданных в результате установки политики аудита и обновляемых при возникновении заданных событий. Утилиту Просмотр событий (Event Viewer) также используют для просмотра содержимого файлов журнала безопасности и поиска конкретных событий в файлах журнала.
Утилита Просмотр событий (Event Viewer) необходима для просмотра информации, содержащейся в журналах (logs) Windows XP Professional. По умолчанию эта утилита позволяет просматривать три журнала (таблица 2.4).
Таблица 2.4 – Журналы Windows XP Professional
| Журнал | Описание |
| Журнал приложений | Хранит сообщения об ошибках, предупреждения или информацию, генерируемые приложениями, например СУБД или программой электронной почты. События, регистрируемые в журнале, задаются разработчиками соответствующих программ |
| Журнал безопасности | Содержит информацию об успешных или неудачных попытках выполнения операций, аудит которых включен. Эти события регистрируются Windows XP Professional в соответствии с политикой аудита |
| Системный журнал | Хранит сообщения об ошибках, предупреждения и данные, генерируемые Windows XP Professional. События, регистрируемые в журнале, задаются в Windows XP Professional |
Примечание Если установлены дополнительные службы, могут быть добавлены и соответствующие журналы событий.
|
|
|
