Третье лабораторное задание
Управление журналом безопасности
Просмотр журнала безопасности компьютера и отбора событий
1. Войдите в систему под любой учетной записью, входящей в группу Администраторы (Administrators).
2. Щелкните Пуск (Start), Панель управления (Control Panel), категорию Производительность и обслуживание (Performance And Maintenance) и Администрирование (Administrative Tools), затем дважды щелкните ярлык Просмотр событий (Event Viewer).
3. В дереве консоли щелкните приложение (Application Log) и просмотрите его содержимое. Просмотрите описание нескольких событий, дважды щелкнув соответствующие записи.
4. В дереве консоли щелкните система (System Log) и просмотрите его содержимое. Просмотрите описание нескольких событий, дважды щелкнув каждую их соответствующих записей (рис. 6.).
Рис. 6. Отображение журнала безопасности в окне утилиты Просмотр событий (Event Viewer)
Успешные попытки условно обозначены значком ключа, а неудачные — значком замка. Кроме того, указаны дата и время события, категория события и пользователь, действие которого вызвало данное событие. В колонке Категория (Category) отображается тип события, например доступ к объекту, управление учетными записями, доступ к службе каталогов или попытки регистрации в системе. Типы регистрируемых событий представлены в таблице 8.
Чтобы просмотреть дополнительную информацию о любом событии, щелкните название события и в меню Действие (Action) щелкните пункт Свойства (Properties).
5. В дереве консоли щелкните безопасность (Security Log) и просмотрите его содержимое. Просмотрите описания всех событий категории Отказ (Failure), дважды щелкая соответствующие записи, пока не найдете попытку доступа пользователя User2 к файлу C:\Audit\Audit.
6. В меню Вид (View) выберите пункт Фильтр (Filter).
На рис. 7 показаны параметры вкладки Фильтр (Filter).
Рис. 7. Вкладка Фильтр (Filter) окна Свойства:Безопасность (System Properties)
утилиты Просмотр событий (Event Viewer)
7. В диалоговом окне Свойства: Безопасность (Security Properties), в поле Пользователь (User), введите User2 и щелкните ОК. Применение фильтра уменьшит число событий, которые придется просмотреть, чтобы найти нужное.
8. Дважды щелкните каждое из событий. Обратите внимание, что все они относятся к пользователю User2.
Настройка размера и содержимого файла журнала
1. В дереве консоли выберите элемент Система (System).
2. В меню Действие (Action) щелкните пункт Свойства (Properties).
3. В диалоговом окне свойств журнала выберите Затирать старые события по необходимости (Overwrite Events As Needed).
4. В поле Максимальный размер журнала (Maximum Log Size) измените максимальный размер журнала на 2048 кбайт и щелкните ОК. Теперь Windows XP Professional будет заполнять журнал, пока его объем не достигнет 2048 кбайт, а затем начнет затирать старые события по мере необходимости.
5. Закройте окно Просмотр событий (Event Viewer) и окно Администрирование (Administrative Tools).
Типы регистрируемых событий Таблица 8
Идентификатор
| Категория
| Описание
|
| Системное событие
| Перезагрузка операционной системы
|
| Системное событие
| Завершение работы операционной системы (shutdown)
|
| Системное событие
| Загрузка пакета аутентификации
|
| Системное событие
| Запуск процесса аутентификации (в стандартной конфигурации WinLogon.exe)
|
| Системное событие
| Сбой при ретистрации одного или нескольких событий аудита1
|
| Системное событие
| Очистка журнала аудита
|
518 528
| Системное событие
Вход/выход пользователя \лз системы
| Загрузка пакета оповещения об изменениях в списке пользователей Пользователь успешно вошел в систему
|
| Вход/выход пользователя из системы
| Вход пользователя в систему запрещен -имя или пароль, введенные при входе в систему, некорректны
|
| Вход/выход пользователя из системы
| Вход пользователя в домен в данное время запрещен
|
| Вход/выход пользователя из системы
| Вход пользователя в систему запрещен -учетная запись пользователя заблокирована администратором
|
| Вход/выход пользователя из системы
| Вход пользователя в Домен запрещен -учетная запись пользователя автоматически заблокирована по достижении определенной даты
|
| Вход/выход пользователя из системы
| Вход пользователя в домен с данной рабочей станции запрещен
|
| Вход/выход пользователя из системы
| Данный тип (интерактивный, сетевой или сервисный) входа пользователя в систему запрещен
|
| Вход/выход пользователя из системы
| Вход пользователя в систему запрещен -пароль пользователя устарел
|
| Вход/выход пользователя из системы
| Пользователь не смог войти в домен из-за сбоев сетевых сервисов
|
| Вход/выход пользователя из системы
| Пользователь не смог войти в систему по какой-то другой причине
|
| Вход/выход пользователя из системы
| Пользователь успешно вышел из системы
|
Продолжение табл. 8
Идентификатор
| Категория
| Описание
|
| Вход/выход пользователя из системы
| Вход пользователя в систему запрещен -учетная запись пользователя автоматически заблокирована из-за превышения максимально допустимого количества попыток входа в систему с неверным паролем
|
| Доступ к объекту
| Пользователь попытался открыть объект
|
| Доступ к объекту
| Пользователь закрыл объект
|
| Использование опасных привилегий
| В маркере доступа пользователя присутствует опасная привилегия
|
| Использование опасных привилегий
| Предпринята попытка использования опасной привилегии при выполнении операции, не связанной с доступом к объектам3
|
| Использование опасных привилегий
| Предпринята попытка использования опасной привилегии для получения доступа к объекту
|
| Запуск/завершение процессов
| Запуск нового процесса
|
| Запуск/завершение процессов
| Завершение процесса
|
| Запуск/завершение процессов
| Дублирование дескриптора (handle) объекта
|
| Запуск/завершение процессов
| Непрямой доступ к объекту
|
| Изменения в политике безопасности
| Субъекту предоставлена новая привилегия
|
| Изменения в политике безопасности
| У субъекта отнята привилегия
|
| Изменения в политике безопасности
| Установлены доверительные отношения с другим доменом
|
| Изменения в политике безопасности
| Доверительные отношения с другим доменом прекращены
|
| Изменения в политике безопасности
| Изменена политика аудита
|
| Изменения в списке пользователей2
| Создана учетная запись нового пользователя
|
| Изменения в списке пользователей
| Изменен тип учетной записи
|
| Изменения в списке пользователей
| С учетной записи пользователя снята блокировка
|
| Изменения в списке пользователей
| Неудачная попытка изменить пароль пользователя
|
| Изменения в списке пользователей
| Удачная попытка изменить пароль пользователя
|
| Изменения в списке пользователей
| Учетная запись пользователя заблокирована
|
Окончание табл. 8
Идентификатор
| Категория
| Описание
|
| Изменения в списке пользователей
| Учетная запись пользователя удалена
|
| Изменения в списке пользователей
| Создана новая глобальная группа
|
| Изменения в списке пользователей
| Пользователь добавлен в глобальную группу
|
| Изменения в списке пользователей
| Пользователь удален из глобальной группы
|
| Изменения в списке пользователей
| Глобальная группа удалена
|
| Изменения в списке пользователей
| Создана новая локальная группа
|
| Изменения в списке пользователей
| Пользователь добавлен в локальную группу
|
| Изменения в списке пользователей
| Пользователь удален из локальной группы
|
| Изменения в списке пользователей
| Локальная группа удалена
|
| Изменения в списке пользователей
| Произведены изменения в учетной записи локальной группы, не связанные с изменением членства пользователей в этой группе
|
| Изменения в списке пользователей
| Произведены изменения в списке пользователей, не связанные с редактированием учетных записей
|
| Изменения в списке пользователей
| Произведены изменения в учетной записи глобальной группы, не связанные с изменением членства пользователей в этой группе
|
| Изменения в списке пользователей
| Произведены изменения в учетной записи пользователя, не связанные с изменением типа учетной записи, пароля пользователя и членства пользователя в группах
|
Воспользуйтесь поиском по сайту: