Определяющих, когда будет производиться аудит определенного события

Лабораторная работа № 7: «Аудит локальной системы».

Цель занятия – приобретение обучаемыми необходимого объёма знаний и практических навыков в области аудита локальной системы.

Время – 4 часа.

Учебные вопросы:

Теоретическая часть: получение информации о процессах, происходящих в системе.

1) Аудит событий. Настройка аудита событий.

2) Просмотр событий.

3) Диспетчер задач и внутренние параметры системы.

4) Закладка Приложения.

5) Закладка Процессы.

6) Закладка Быстродействие.

7) Закладка Сеть.

8) Закладка Пользователи.

9) Просмотр дополнительных внутренних параметров системы.

2. Практическая часть:

1) Вопросы по разделу.

2) Задание.

3) Порядок отчетности и форма контроля выполнения работы.

Материально-техническое обеспечение.

Теоретическая часть: получение информации о процессах, происходящих в системе.

Аудит событий. Настройка аудита событий.

Практически все события системы, отражающие процессы, происходящие на уровне ядра ОС и выше и представляющие интерес для пользователя лю­бого уровня, могут быть определены и сохранены в файле благодаря специ­альному механизму Windows XP, называемому аудитом системы. Просмотр сохраненных событий осуществляется специальной программой Просмотр событий.

Этот механизм является очень гибким в настройке и позволяет вести аудит различных событий, происходящих в системе, как по их классу принадлеж­ности, так и по тому, удачно или неудачно было завершено событие. Напри­мер, можно заставить систему контролировать все успешные попытки пользователей и приложений получения доступа к реестру. Или можно контролировать все попытки входа пользователей в систему, которые закончились неудачно.

Настройки аудита локальной системы находятся в программе Локальная политика безопасности (Local Security Settings):

Пуск\Все программы\Панель управления\Администрирование\ Локальная политика безопасности

Для настройки аудита событий следует:

- запустить программу Локальная политика безопасности;

- выбрать пункт Локальные политики (рис.1.1.);

- выбирать пункт Политика аудита;

- появятся настройки поли­тики аудита (рис.1.2.).

 

Рис. 1.1. Окно программы Локальные параметры безопасности

 

Рис. 1.2. Окно настройки аудита

 

Настройки аудита событий представ­ляют собой список контролируемых событий, а также признак того, когда будет осуществляться запись этого события: при его успешном исходе, отка­зе или в обоих случаях. Факт успешности завершения события определяется по его коду завершения, существующему внутри системы. Для определения того, когда будет происходить запись того или иного события, определенного соответствующей строкой списка поли­тики аудита, следует по ней сделать двойной щелчок мышью, после чего на экране появится окно настройки политики аудита (рис.1.3).

 

Рис. 1.3. Диалоговое окно ввода значений опций,

определяющих, когда будет производиться аудит определенного события

 

Данное окно позволяет пользователю выбрать вид аудита события для просмотра: при успешном завершении события, в случае его сбоя или в любом случае, настройки достигаются установкой флажка в соответствующих режимах: Успех, Отказ или в обоих режимах. Каждая из политик аудита обладает своими характерными особенностями:

1. Политика аудита Аудит событий входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользователей на других сетевых компьютерах, при условии, что данный компьютер используется для проверки подлинности учетной записи. При установке опции Успех, будет производиться запись событий, в ре­зультате которых пользователи успешно вошли в систему, в случае уста­новки опции Отказ, будет производиться запись событий, в результате которых пользователи не смогли войти в систему. В случае установки обеих опций будет производиться запись всех попыток входа пользователей в систему, как удачных, так и нет.

2. В больших системах используется полное протоколирование входа пользователей в систему, которое достигается установкой обоих опций. Для небольших организаций и до­машних систем достаточно вести протоколирование входа пользова­телей только по критерию Отказ, чтобы всегда можно было обнаружить случаи подбора паролей или попытки вторжения взломщиков, которые не увенчались успехом, и принять соответствующие меры. Так же будет получена информация о возможном источнике про­блеем и пользователях, которые постоянно забывают свой пароль, и, вероятно, пытаются его где-то записывать.

3. Политика аудита Аудит управления учетными записями ответственна за запись событий, возникающих при работе с учетными записями пользователей: создание, изменение или удаление группы пользователей; переименование учетной записи пользователя, ее выключение, включение; установка иди смена пароля. Во всех случаях системой, в соответствии с установ­ленными опциями Успех и Отказ будет производить­ся запись событий. Рекомендуется поставить политику на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в се­тевых структурах.

4. Политика аудита Аудит доступа к службе каталогов ответственна за протоко­лирование доступа к объектам службы Active Directory, которая представляет собой, специальную сетевую файловую систему, элементами которой могут быть не только файлы и папки. Рекомендуется ее поставить на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в се­тевых структурах.

5. Политика аудита Аудит входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользо­вателей на данном компьютере. При установке опции Успех бу­дет производиться запись событий, в результате которых пользователи ус­пешно вошли в систему. В случае установки опции Отказ будет про­изводиться запись событий, в результате которых пользователи по каким-либо причинам не смогли войти в систему. В случае установки обеих опций можно производить запись всех попыток входа пользователей.

6. Политики аудита Аудит доступа к объектам и Аудит изменения политики от­ветственны, соответственно, за аудит доступа к различным объектам систе­мы, которые контролируются с помощью прав доступа, и за аудит работ с правами пользователей и политики аудита. В большинстве случаев достаточно будет производить аудит по отказу для этих двух собы­тий. Данные записи могут пригодиться в случае, если в системе будет происходить что-то странное и необходимо выяснить причины возникших ситуаций.

7. Политика аудита Аудит использований привилегий производит запись событий, в случае использования пользователями специфических системных привиле­гий. Рекомендуется установить ее на запись событий в случае отказа для их получения пользователям. Данная информация может помочь специалистам по компьютерной безопасности в выяснении того, что произошло с систе­мой.

8. Политика аудита Аудит отслеживания процессов позволяет вести аудит по таким событиями процесса, как запуск программы, выход из нее, а также другим важным системным событиям. Установка аудита данных событий по отказу может помочь понять, что происходит в системе и, возможно, где ей требуется помощь.

9. Политика аудита Аудит системных событий позво­ляет проводить аудит таких системных событий как перезагрузка или выключение компьютера, а также других важных сообщений, касающихся безопасности системы. Рекомендуется всегда устанавливать данную политику аудита, как минимум, на запись собы­тия, в случае его отказа.

Особенности аудита системы:

1. Чем больше событий в различных ситуациях протоколируется, тем больше сообщений аудита системы будете получено, следовательно, тем больше инфор­мации будет о процессах, происходящих внутри систе­мы, инициируемые пользователями или различным программным обеспечением.

2. Чем больше сообщений системы будет получено, тем мед­леннее будет работать система и возможно слишком быстрое пе­реполнение внутреннего лога безопасности операционной системы. В резуль­тате чего придется достаточно часто производить его очистку в программе Просмотр событий.

 

Просмотр событий.

Программа Просмотр событий (Event Viewer) представляет специальную системную программу, входящую в состав Windows XP, которая позволяет видеть все сообщения, записанные в лог-файлы различными приложениями и самой ОС. Программа Event Viewer (рис.1.4.) находится:

Пуск\Панель управления\Администрирование\Просмотр событий

В данном окне содержится три пункта: Приложение, Безопасность, Система (Application, Security, System), иначе их называют логами, лог-файлами или, соответственно, журналом прило­жений, журналом безопасности и журналом системы. Информация, содержащаяся в них, явля­ется сообщениями, записанными приложениями систем­ной безопасности ОС и системными компонентами Windows XP. Предполагается, что информация, содержащаяся в этих разделах важна для пользователя, и он должен периодически с ней знакомиться.

Рис. 1.4. Стартовое окно программы Просмотр событий.

 

Типы протоколируемых системой событий в логах:

- ошибка – данное сообщение сообщает об ошибке, такой как возможная утеря данных или нарушение функционирования программного обеспе­чения, например, невозможность старта одно­го из системных сервисов или ошибка при завершении приложения;

- предупреждение – сообщение не обязательно является чем-то важным, но может говорить об ошибке, которая может возникнуть впо­следствии, например, нежелание какой-либо программы или сервиса во время выключения машины корректно завершаться;

- уведомление – сообщение, что описываемое событие успешно завершилось в приложении, драйвере или сервисе, например, успешный старт какого-либо системного сервиса или его остановка;

- аудит успехов – сообщение о том, что контролируемое собы­тие в политике аудита и системой безопасности успешно завершилось, например, был произведен корректный вход одного из пользователей в систему;

- аудит отказов – класс событий, который будет со­общать о том, что контролируемое в политике аудита и систе­мой безопасности событие завершилось с ошибкой, например, со­общение, сгенерированное при ошибке доступа к какому-либо объекту системы, или сообщение при регистрации пользователя, если он ошибся паролем.

 

Рис. 1.5. Содержимое раздела Приложение программы Просмотр событий.

 

Рис. 1.6. Типичное сообщение, содержащееся в одном логе системы.

 

За запись сообщений в лог системы ответственен сервис Event Log, который стартует при загрузке Windows XP. Вход в раздел Security имеют только пользователи, входящие в со­став группы локальных администраторов. По умолчанию в этот раздел система не пишет никаких сообщений. Для активации записи сообщений необ­ходимо установить требуемую политику аудита системы (п.1.1.).

Для просмотра свойств конкретного уведомления следует сделать щелчок правой кнопкой мыши на событии. В появившемся контекстном меню выбрать команду Свойства. Появится окно Свойства: Уведомление. В верхней части окна (рис.1.6.) содержится типичная информация. В средней и нижней его части содержится информация, раз­личная для каждого из сообщений. Информационные поля в описании события Even (формат протоколируемых событий):

- дата – поле определяет дату, когда данное событие произошло;

- время – поле определяет локальное время, когда это событие на­ступило;

- пользователь – поле определяет пользователя, от имени которого произошло событие (описание пользователя помещено в Event Log); поле может содержать имя клиента, вызвавшего событие, при обра­ботке его запроса в программе-сервере, «N/A» определяет принадлежность данного события к операционной системе.

- компьютер – поле содержит имя компьютера, на котором произошло данное событие;

- код (ID) – поле содержит идентификатор события, который вместе с полем Источник используются для анализа ситуации раз­работчиками программного обеспечения, вызвавшего данную запись в логе; при обращении в службу поддержки по их требова­нию нужно сообщить эти значения полей интересующих их событий системы;

- источник – поле содержит имя программного обеспечения, драйвера или компонента системы, вызвавшего запись события; этот идентифика­тор, а также поле Event ID используются для анализа ситуации разработ­чиками программного обеспечения, вызвавшего данную запись в логе;

- тип – поле содержит один из пяти типов сообщений, которым оно является;

- категория – поле классифицирует событие в программном обеспече­нии, которое его вызвало; данная информация наиболее часто использу­ется в логе событий системы безопасности как идентификатор того, какой именно тип контролируемого события в политике аудита был при записи сообщения.

- описание – поле используется для вывода дополнительной информации, ко­торая может лучше понять природу произошедшего в системе события.

В процессе запуска, работы и выключения системы скапли­вается большое количество событий, на изучение и просмотр которых требуется много времени. Поэтому свое внимание следует сконцентрировать на событиях, имеющих тип: Ошибка, Предупреждение, Аудит отказов. Первые два типа обычно появ­ляются в разделах System и Application и сообщают о том, на что следует обратить внимание в работе системы и приложения, на­пример, проблемы в работе жестких дисков, системных программ или самой операционной системы. Следует внимательно относиться к таким сообщениям, если их пропускать, то может случиться, что в будущем система перестанет корректно функционировать, а данные могут оказаться потерян­ными, если не производилось их регулярное резервирование.

Сообщения системы безопасности Аудит отказов могут быть связаны с тем, что на систему осуществлялась какая-либо атака извне или кто-то из пользователей забыл свой пароль. Частое появление таких сообщений может означать, что кто-то подбирает пароль к определенным учетным записям системы. В данных случаях следует быть особенно внимательными, так как таких записей в Event Log бывает не много.

При переполнении разделов лог-файла системы следует:

- войти в систему под правами системного администратора;

- загрузить программу Просмотр событий (Event Viewer);

- выбрать раздел;

- раскрыть пункт операционного меню Действия или сделать щелчок правой кнопкой мыши на разделе и в появившемся контекстном меню выбрать пункт Стереть все события (рис.1.7.);

- на экране появится диалоговое окно, в котором будет предложено сохранить события, которые будут удалены, в отдельном файле, (рис.1.8.).

Рекомендуется иметь историю совершенных событий, что может помочь при решении возникших проблем, т.к. при сохранении событий всегда можно проследить их начало и принять соответствующее решение. Поэтому следует нажать кнопку Да (рис.1.8.) и выбрать место и имя для со­храняемого файла, содержащего удаляемые сообщения из части Events Log.

Рис. 1.7. Меню для очистки выбранного раздела лог-файла системы.

 

Рис. 1.8. Предложение системы о сохранении стираемых событий.

 

 

Если впоследствии придется просмотреть сохраненные события, то следует в программе Просмотр событий раскрыть пункт операционного меню Действия и выбрать команду Открыть файл журнала (рис.1.7.), события, находящиеся в фай­ле, отобразятся на экране. Для выполнения операций очистки разделов Events Log, а также со­хранения и загрузки файлов, содержащих сообщения из этих разделов, требуются права системного администратора.

 

123Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: