 |
Третье лабораторное задание
|
|
|
|
Управление журналом безопасности
Просмотр журнала безопасности компьютера и отбора событий
1. Войдите в систему под любой учетной записью, входящей в группу Администраторы (Administrators).
2. Щелкните Пуск (Start), Панель управления (Control Panel), категорию Производительность и обслуживание (Performance And Maintenance) и Администрирование (Administrative Tools), затем дважды щелкните ярлык Просмотр событий (Event Viewer).
3. В дереве консоли щелкните приложение (Application Log) и просмотрите его содержимое. Просмотрите описание нескольких событий, дважды щелкнув соответствующие записи.
4. В дереве консоли щелкните система (System Log) и просмотрите его содержимое. Просмотрите описание нескольких событий, дважды щелкнув каждую их соответствующих записей (рис. 6.).
Рис. 6. Отображение журнала безопасности в окне утилиты Просмотр событий (Event Viewer)
Успешные попытки условно обозначены значком ключа, а неудачные — значком замка. Кроме того, указаны дата и время события, категория события и пользователь, действие которого вызвало данное событие. В колонке Категория (Category) отображается тип события, например доступ к объекту, управление учетными записями, доступ к службе каталогов или попытки регистрации в системе. Типы регистрируемых событий представлены в таблице 8.
Чтобы просмотреть дополнительную информацию о любом событии, щелкните название события и в меню Действие (Action) щелкните пункт Свойства (Properties).
5. В дереве консоли щелкните безопасность (Security Log) и просмотрите его содержимое. Просмотрите описания всех событий категории Отказ (Failure), дважды щелкая соответствующие записи, пока не найдете попытку доступа пользователя User2 к файлу C:\Audit\Audit.
|
|
|
6. В меню Вид (View) выберите пункт Фильтр (Filter).
На рис. 7 показаны параметры вкладки Фильтр (Filter).
Рис. 7. Вкладка Фильтр (Filter) окна Свойства:Безопасность (System Properties)
утилиты Просмотр событий (Event Viewer)
7. В диалоговом окне Свойства: Безопасность (Security Properties), в поле Пользователь (User), введите User2 и щелкните ОК. Применение фильтра уменьшит число событий, которые придется просмотреть, чтобы найти нужное.
8. Дважды щелкните каждое из событий. Обратите внимание, что все они относятся к пользователю User2.
Настройка размера и содержимого файла журнала
1. В дереве консоли выберите элемент Система (System).
2. В меню Действие (Action) щелкните пункт Свойства (Properties).
3. В диалоговом окне свойств журнала выберите Затирать старые события по необходимости (Overwrite Events As Needed).
4. В поле Максимальный размер журнала (Maximum Log Size) измените максимальный размер журнала на 2048 кбайт и щелкните ОК. Теперь Windows XP Professional будет заполнять журнал, пока его объем не достигнет 2048 кбайт, а затем начнет затирать старые события по мере необходимости.
5. Закройте окно Просмотр событий (Event Viewer) и окно Администрирование (Administrative Tools).
Типы регистрируемых событий Таблица 8
| Идентификатор | Категория | Описание |
| Системное событие | Перезагрузка операционной системы | |
| Системное событие | Завершение работы операционной системы (shutdown) | |
| Системное событие | Загрузка пакета аутентификации | |
| Системное событие | Запуск процесса аутентификации (в стандартной конфигурации WinLogon.exe) | |
| Системное событие | Сбой при ретистрации одного или нескольких событий аудита1 | |
| Системное событие | Очистка журнала аудита | |
| 518 528 | Системное событие Вход/выход пользователя \лз системы | Загрузка пакета оповещения об изменениях в списке пользователей Пользователь успешно вошел в систему |
| Вход/выход пользователя из системы | Вход пользователя в систему запрещен -имя или пароль, введенные при входе в систему, некорректны | |
| Вход/выход пользователя из системы | Вход пользователя в домен в данное время запрещен | |
| Вход/выход пользователя из системы | Вход пользователя в систему запрещен -учетная запись пользователя заблокирована администратором | |
| Вход/выход пользователя из системы | Вход пользователя в Домен запрещен -учетная запись пользователя автоматически заблокирована по достижении определенной даты | |
| Вход/выход пользователя из системы | Вход пользователя в домен с данной рабочей станции запрещен | |
| Вход/выход пользователя из системы | Данный тип (интерактивный, сетевой или сервисный) входа пользователя в систему запрещен | |
| Вход/выход пользователя из системы | Вход пользователя в систему запрещен -пароль пользователя устарел | |
| Вход/выход пользователя из системы | Пользователь не смог войти в домен из-за сбоев сетевых сервисов | |
| Вход/выход пользователя из системы | Пользователь не смог войти в систему по какой-то другой причине | |
| Вход/выход пользователя из системы | Пользователь успешно вышел из системы |
Продолжение табл. 8
|
|
|
| Идентификатор | Категория | Описание |
| Вход/выход пользователя из системы | Вход пользователя в систему запрещен -учетная запись пользователя автоматически заблокирована из-за превышения максимально допустимого количества попыток входа в систему с неверным паролем | |
| Доступ к объекту | Пользователь попытался открыть объект | |
| Доступ к объекту | Пользователь закрыл объект | |
| Использование опасных привилегий | В маркере доступа пользователя присутствует опасная привилегия | |
| Использование опасных привилегий | Предпринята попытка использования опасной привилегии при выполнении операции, не связанной с доступом к объектам3 | |
| Использование опасных привилегий | Предпринята попытка использования опасной привилегии для получения доступа к объекту | |
| Запуск/завершение процессов | Запуск нового процесса | |
| Запуск/завершение процессов | Завершение процесса | |
| Запуск/завершение процессов | Дублирование дескриптора (handle) объекта | |
| Запуск/завершение процессов | Непрямой доступ к объекту | |
| Изменения в политике безопасности | Субъекту предоставлена новая привилегия | |
| Изменения в политике безопасности | У субъекта отнята привилегия | |
| Изменения в политике безопасности | Установлены доверительные отношения с другим доменом | |
| Изменения в политике безопасности | Доверительные отношения с другим доменом прекращены | |
| Изменения в политике безопасности | Изменена политика аудита | |
| Изменения в списке пользователей2 | Создана учетная запись нового пользователя | |
| Изменения в списке пользователей | Изменен тип учетной записи | |
| Изменения в списке пользователей | С учетной записи пользователя снята блокировка | |
| Изменения в списке пользователей | Неудачная попытка изменить пароль пользователя | |
| Изменения в списке пользователей | Удачная попытка изменить пароль пользователя | |
| Изменения в списке пользователей | Учетная запись пользователя заблокирована |
Окончание табл. 8
|
|
|
| Идентификатор | Категория | Описание |
| Изменения в списке пользователей | Учетная запись пользователя удалена | |
| Изменения в списке пользователей | Создана новая глобальная группа | |
| Изменения в списке пользователей | Пользователь добавлен в глобальную группу | |
| Изменения в списке пользователей | Пользователь удален из глобальной группы | |
| Изменения в списке пользователей | Глобальная группа удалена | |
| Изменения в списке пользователей | Создана новая локальная группа | |
| Изменения в списке пользователей | Пользователь добавлен в локальную группу | |
| Изменения в списке пользователей | Пользователь удален из локальной группы | |
| Изменения в списке пользователей | Локальная группа удалена | |
| Изменения в списке пользователей | Произведены изменения в учетной записи локальной группы, не связанные с изменением членства пользователей в этой группе | |
| Изменения в списке пользователей | Произведены изменения в списке пользователей, не связанные с редактированием учетных записей | |
| Изменения в списке пользователей | Произведены изменения в учетной записи глобальной группы, не связанные с изменением членства пользователей в этой группе | |
| Изменения в списке пользователей | Произведены изменения в учетной записи пользователя, не связанные с изменением типа учетной записи, пароля пользователя и членства пользователя в группах |
|
|
|
|
|
|
