Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Аудит доступа к файлам и папкам





АУДИТ РЕСУРСОВ И СОБЫТИЙ СИСТЕМЫ ЗАЩИТЫ

1 Цель работы: является получение навыков по созданию политики аудита и управлению аудитом ресурсов и событий защищенной операционной системы Windows XP.

 

Общие положения

2.1. Понятие и свойства аудита ресурсов и событий

Аудит – одна из функций групповой политики Windows XP Professional. Подсистема аудита (auditing) – это инструмент, предназначенный для поддержания безопасности в сети и позволяющий отслеживать действия пользователей, а также действия операционной системы Windows XP Professional, называемые событиями (events). Средствами аудита можно задать режим, при котором Windows XP Professional регистрирует события в журнале безопасности (security.log). В нем хранятся записи об успешных и неудачных попытках входа в систему и о таких событиях, как создание, открытие и закрытие файлов или других объектов. Запись аудита в журнале безопасности содержит данные о:

• выполненных операциях;

• пользователях, выполнивших операцию;

• успешном или неуспешном выполнении операции, кроме того, указывается время, когда произошло данное событие.

Планирование политики аудита

Понятие о политике аудита

Политика аудита (audit policy) задает типы событий системы безопасности, которые Windows XP Professional регистрирует в журнале безопасности каждого компьютера. Журнал безопасности позволяет отслеживать заданные события.

Система Windows XP Professional регистрирует событие в журнале безопасности того компьютера, на котором событие происходит. Так, каждый раз, когда кто-нибудь пытается войти в систему и попытка входа оказывается неудачной, Windows XP Professional регистрирует событие в журнале безопасности данного компьютера.

Можно настроить политику аудита для данного компьютера на выполнение следующих операций:

• выявление успешных или неудачных действий, например попыток входа пользователей в систему или отдельного пользователя прочитать указанный файл, изменения учетной записи пользователя или принадлежности к группе, изменение параметров безопасности;



• исключение или минимизация риска неавторизованного использования ресурсов.

Для просмотра событий, зарегистрированных системой Window-XP Professional в журнале безопасности, используется утилита. Просмотр событий (Event Viewer). Можно также сохранять файлы журнала в архиве для выяснения закономерностей за указанный период времени – например, чтобы определить частоту использования принтеров или файлов или выявление попыток неавторизованного использования ресурсов.

Определение событий, подлежащих регистрации

При планировании политики аудита нужно определить, какие события следует регистрировать и на каких компьютерах надо установить аудит. По умолчанию аудит отключен.

Можно регистрировать следующие типы событий:

• попытки доступа к файлам и папкам;

• вход в систему и выход из нее;

• выключение компьютера с Windows XP Professional;

• запуск компьютера с Windows XP Professional;

• изменения учетных записей пользователей и групп;

• попытки изменения объектов Active Directory (только если компьютер с Windows XP Professional является частью домена).

После того как типы регистрируемых событий заданы, нужно определить, регистрировать ли успешные действия, неудавшиеся попытки или оба вида событий.

Отслеживание успешных действий дает информацию о том, как часто система Windows XP Professional или пользователи обращаются к конкретным файлам, принтерам или другим объектам; эта информация пригодится для планирования ресурсов.

Регистрация неудачных попыток позволяет выявить слабые места в защите системы. Так, если зафиксировано несколько неудачных попыток входа в систему под определенным именем пользователя, особенно в нерабочее время, можно предположить, что неавторизованный пользователь пытается «взломать» систему. Кроме того, при выборе политики аудита руководствуйтесь правилами:

• Определите, нужно ли отслеживать закономерности загрузки системы. Если да, то предусмотрите сохранение журналов событий в архиве. Это позволит контролировать распределение загрузки по времени и заранее планировать увеличение ресурсов системы.

• Часто просматривайте журналы безопасности. Обязательно установите расписание и регулярно просматривайте журналы безопасности, так как выполнение аудита само по себе не предупреждает о слабых местах в защите системы.

• Задайте информативную и работоспособную политику аудита. Всегда регистрируйте попытки доступа к жизненно важным и конфиденциальным данным. Регистрируйте только те события, которые дают существенную информацию. Это снижает потребление ресурсов компьютера до минимума и упрощает поиск нужной информации. Регистрация большого числа событий может привести к чрезмерной трате системных ресурсов Windows XP Professional.

Реализация политики аудита

Аудит – мощный инструмент для отслеживания событий, происходящих на компьютерах в вашем офисе. Прежде чем применять аудит, следует продумать требования к нему и установить политику аудита. Далее можно выполнять аудит файлов, папок и принтеров.

Конфигурация аудита

На компьютерах с Windows XP Professional политики аудита устанавливаются для каждого компьютера в отдельности. Для установки и администрирования аудита необходимо:

• иметь право пользователя Управление аудитом и журналом безопасности (Manage Auditing And Security Log) на том компьютере, на котором планируется установить политику аудита или просмотреть журнал безопасности. По умолчанию в Windows XP Professional такие права имеет группа Администраторы (Administrators);

• разместить файлы и папки, аудит которых планируется, на томах с файловой системой NTFS.

Настройка аудита

Настройка аудита выполняется в два этапа.

1. Задание политики аудита. Политика аудита разрешает аудит объектов, но не инициирует аудит заданных объектов.

2. Разрешения аудита заданных ресурсов. Для файлов, папок, принтеров и объектов Active Directory назначаются конкретные события, подлежащие регистрации. После этого Windows XP Professional начинает отслеживать заданные события и регистрировать их в журнале.

Установка политики аудита

На первом этапе установки политики аудита в Windows XP Professional необходимо выбрать типы событий, подлежащих регистрации. Для каждого регистрируемого события в параметрах указывается, какие попытки следует отслеживать – успешные или неудачные. Политика аудита на локальном компьютере устанавливается средствами оснастки Групповая политика, которую можно запустить, используя Консоль управления ММС(Microsoft Management Console) и добавив в консоль оснастку Групповая политика (Group Policy). В таблице 2.1 перечислены типы событий, регистрируемые в Windows XP Professional.

 

Таблица 2.1 – Типы событий, регистрируемых Windows XP Professional

Событие Описание
Вход в систему под заданной учетной записью Контроллер домена получил запрос на проверку учетной записи пользователя (применяется только в тех случаях, когда компьютер с Windows XP Professional входит в домен Microsoft Windows 2000)
Управление учетными записями Администратор создал, изменил или удалил учетную запись пользователя или группу. Некоторая учетная запись была переименована, отключена или включена, или для нее был назначен или изменен пароль
Доступ к службе каталогов Пользователь получил доступ к объекту Active Directory. Для регистрации событий этого типа нужно сконфигурировать аудит для определенных объектов Active Directory (Active Directory можно применять, только если компьютер с Windows XP Professional входит в домен Microsoft Windows 2000)
Вход в систему Пользователь локально вошел в систему или вышел из нее, или подключился к компьютеру через сеть (или отключился от него)
Доступ к объектам Пользователь получил доступ к файлу, папке или принтеру. Определенные файлы, папки или принтеры должны быть настроены для аудита. В этом случае регистрируется доступ пользователей к файлам, папкам и принтерам
Изменение системной политики Изменены пользовательские параметры безопасности, права пользователя или политика аудита
Использование привилегий Пользователь применил права, например изменил системное время (в этом случае не подразумеваются права, связанные с регистрацией в системе или с выходом из нее)
Отслеживание процесса Программа выполнила действие. Эта информация важна главным образом для программистов, которым нужно детально проследить выполнение программы
Системные события Пользователь перезапустил или выключил компьютер, или произошло событие, повлиявшее на безопасность Windows XP Professional или на журнал безопасности. Например, журнал аудита переполнился и Windows XP Professional начинает игнорировать поступающие сообщения о событиях

 

После настройки параметров политики аудита имейте в виду, что изменения в политике аудита компьютера вступают в силу только после перезагрузки.

Аудит доступа к файлам и папкам

Если требуется выявить слабые места в защите корпоративной сети, можно установить аудит файлов и папок, расположенных на разделах NTFS. Для аудита доступа пользователей к файлам и папкам прежде всего следует настроить политику аудита на регистрацию доступа к объектам, в том числе файлов и папок. При настройке политики аудита на регистрацию доступа к объектам включается аудит конкретных файлов и папок. При этом также указывается, какие виды доступа, пользователи и группы подлежат аудиту.

В таблице 2.2 перечислены действия пользователей, вызывающие соответствующие события, что поможет определить, в каких случаях следует включать аудит этих событий.

 

Таблица 2.2 – События для файлов и папок, вызываемые действиями пользователей

Событие Действие пользователя, вызвавшее событие  
Переход в папку/Выполнение файла (Traverse Folder/Execute File) Запуск программы или получение доступа к папке при смене текущей папки  
Получение списка файлов/Чтение данных (List Folder/Read Data) Просмотр содержимого файла или папки  
Чтение атрибутов (Read Attributes) Просмотр атрибутов файла или папки  
Чтение расширенных атрибутов (Read Extended Attributes) Просмотр атрибутов файла или папки  
Создание файлов/Запись данных (Create Files/Write Data) Изменение содержимого файла или создание новых файлов в папке  
Создание папок/Добавление данных (Create Folders/Append Data) Создание папок внутри папок
Запись атрибутов (Write Attributes) Изменение атрибутов файла или папки
Запись расширенных атрибутов (Write Extended Attributes) Изменение атрибутов файла или папки
Удаление вложенных папок и файлов (Delete Subfolders And Files) Удаление файла или папки внутри папки
Удаление (Delete) Удаление файла или папки
Чтение разрешений (Read Permissions) Просмотр прав владельца файла на файл или папку
Смена разрешений (Change Permissions) Изменение прав доступа к файлу или папке
Смена владельца (Take Ownership) Изменить право владельца на файл или папку

Аудит доступа к принтерам

При необходимости отслеживать использование конкретных принтеров включите аудит доступа к принтерам. Чтобы включить аудит доступа к принтерам, в политике аудита настройте аудит доступа к объектам, что включает принтеры.

Включите аудит конкретных принтеров и укажите, какие виды .доступа регистрировать и какие пользователи будут иметь доступ. Для выбранного принтера аудит включается в той же последовательности, что и при установке параметров аудита файлов и папок.

В таблице 2.3 перечислены события, аудит которых возможен для принтеров, и соответствующие этим событиям действия пользователей.

Таблица 2.3 – События для принтеров, вызываемые действиями пользователей

Событие Действие пользователя, вызвавшее событие
Печать (Print) Печать файла
Управление принтерами (Manage Printers) Изменение параметров принтера, приостановка печати, разрешение совместного использования принтера, удаление принтера из системы
Управление документами (Manage Documents) Изменение параметров заданий; приостановка или продолжение печати, изменение порядкового номера в очереди или удаление документов; разрешение совместного использования принтера; изменение параметров принтера
Чтение разрешений (Read Permissions) Просмотр прав доступа к принтеру
Смена разрешений (Change Permissions) Изменение прав доступа к принтеру
Смена владельца (Take Ownership) Смена владельца принтера

2.2. Возможности управления журналом безопасности

Использование утилиты Просмотр событий (Event Viewer)

Утилита Просмотр событий (Event Viewer) применяется для решения различных задач администрирования, в том числе для просмотра журналов аудита, созданных в результате установки политики аудита и обновляемых при возникновении заданных событий. Утилиту Просмотр событий (Event Viewer) также используют для просмотра содержимого файлов журнала безопасности и поиска конкретных событий в файлах журнала.

Утилита Просмотр событий (Event Viewer) необходима для просмотра информации, содержащейся в журналах (logs) Windows XP Professional. По умолчанию эта утилита позволяет просматривать три журнала (таблица 2.4).

 

Таблица 2.4 – Журналы Windows XP Professional

Журнал Описание
Журнал приложений Хранит сообщения об ошибках, предупреждения или информацию, генерируемые приложениями, например СУБД или программой электронной почты. События, регистрируемые в журнале, задаются разработчиками соответствующих программ
Журнал безопасности Содержит информацию об успешных или неудачных попытках выполнения операций, аудит которых включен. Эти события регистрируются Windows XP Professional в соответствии с политикой аудита
Системный журнал Хранит сообщения об ошибках, предупреждения и данные, генерируемые Windows XP Professional. События, регистрируемые в журнале, задаются в Windows XP Professional

Примечание Если установлены дополнительные службы, могут быть добавлены и соответствующие журналы событий.





Рекомендуемые страницы:

Воспользуйтесь поиском по сайту:



©2015- 2021 megalektsii.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав.