Определяющих, когда будет производиться аудит определенного события
Стр 1 из 3Следующая ⇒ Лабораторная работа № 7: «Аудит локальной системы». Цель занятия – приобретение обучаемыми необходимого объёма знаний и практических навыков в области аудита локальной системы. Время – 4 часа. Учебные вопросы: Теоретическая часть: получение информации о процессах, происходящих в системе. 1) Аудит событий. Настройка аудита событий. 2) Просмотр событий. 3) Диспетчер задач и внутренние параметры системы. 4) Закладка Приложения. 5) Закладка Процессы. 6) Закладка Быстродействие. 7) Закладка Сеть. 8) Закладка Пользователи. 9) Просмотр дополнительных внутренних параметров системы. 2. Практическая часть: 1) Вопросы по разделу. 2) Задание. 3) Порядок отчетности и форма контроля выполнения работы. Материально-техническое обеспечение. Теоретическая часть: получение информации о процессах, происходящих в системе. Аудит событий. Настройка аудита событий. Практически все события системы, отражающие процессы, происходящие на уровне ядра ОС и выше и представляющие интерес для пользователя любого уровня, могут быть определены и сохранены в файле благодаря специальному механизму Windows XP, называемому аудитом системы. Просмотр сохраненных событий осуществляется специальной программой Просмотр событий. Этот механизм является очень гибким в настройке и позволяет вести аудит различных событий, происходящих в системе, как по их классу принадлежности, так и по тому, удачно или неудачно было завершено событие. Например, можно заставить систему контролировать все успешные попытки пользователей и приложений получения доступа к реестру. Или можно контролировать все попытки входа пользователей в систему, которые закончились неудачно.
Настройки аудита локальной системы находятся в программе Локальная политика безопасности (Local Security Settings): Пуск\Все программы\Панель управления\Администрирование\ Локальная политика безопасности Для настройки аудита событий следует: - запустить программу Локальная политика безопасности; - выбрать пункт Локальные политики (рис.1.1.); - выбирать пункт Политика аудита; - появятся настройки политики аудита (рис.1.2.).
Рис. 1.1. Окно программы Локальные параметры безопасности
Рис. 1.2. Окно настройки аудита
Настройки аудита событий представляют собой список контролируемых событий, а также признак того, когда будет осуществляться запись этого события: при его успешном исходе, отказе или в обоих случаях. Факт успешности завершения события определяется по его коду завершения, существующему внутри системы. Для определения того, когда будет происходить запись того или иного события, определенного соответствующей строкой списка политики аудита, следует по ней сделать двойной щелчок мышью, после чего на экране появится окно настройки политики аудита (рис.1.3).
Рис. 1.3. Диалоговое окно ввода значений опций, определяющих, когда будет производиться аудит определенного события
Данное окно позволяет пользователю выбрать вид аудита события для просмотра: при успешном завершении события, в случае его сбоя или в любом случае, настройки достигаются установкой флажка в соответствующих режимах: Успех, Отказ или в обоих режимах. Каждая из политик аудита обладает своими характерными особенностями: 1. Политика аудита Аудит событий входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользователей на других сетевых компьютерах, при условии, что данный компьютер используется для проверки подлинности учетной записи. При установке опции Успех, будет производиться запись событий, в результате которых пользователи успешно вошли в систему, в случае установки опции Отказ, будет производиться запись событий, в результате которых пользователи не смогли войти в систему. В случае установки обеих опций будет производиться запись всех попыток входа пользователей в систему, как удачных, так и нет.
2. В больших системах используется полное протоколирование входа пользователей в систему, которое достигается установкой обоих опций. Для небольших организаций и домашних систем достаточно вести протоколирование входа пользователей только по критерию Отказ, чтобы всегда можно было обнаружить случаи подбора паролей или попытки вторжения взломщиков, которые не увенчались успехом, и принять соответствующие меры. Так же будет получена информация о возможном источнике проблеем и пользователях, которые постоянно забывают свой пароль, и, вероятно, пытаются его где-то записывать. 3. Политика аудита Аудит управления учетными записями ответственна за запись событий, возникающих при работе с учетными записями пользователей: создание, изменение или удаление группы пользователей; переименование учетной записи пользователя, ее выключение, включение; установка иди смена пароля. Во всех случаях системой, в соответствии с установленными опциями Успех и Отказ будет производиться запись событий. Рекомендуется поставить политику на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в сетевых структурах. 4. Политика аудита Аудит доступа к службе каталогов ответственна за протоколирование доступа к объектам службы Active Directory, которая представляет собой, специальную сетевую файловую систему, элементами которой могут быть не только файлы и папки. Рекомендуется ее поставить на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в сетевых структурах. 5. Политика аудита Аудит входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользователей на данном компьютере. При установке опции Успех будет производиться запись событий, в результате которых пользователи успешно вошли в систему. В случае установки опции Отказ будет производиться запись событий, в результате которых пользователи по каким-либо причинам не смогли войти в систему. В случае установки обеих опций можно производить запись всех попыток входа пользователей.
6. Политики аудита Аудит доступа к объектам и Аудит изменения политики ответственны, соответственно, за аудит доступа к различным объектам системы, которые контролируются с помощью прав доступа, и за аудит работ с правами пользователей и политики аудита. В большинстве случаев достаточно будет производить аудит по отказу для этих двух событий. Данные записи могут пригодиться в случае, если в системе будет происходить что-то странное и необходимо выяснить причины возникших ситуаций. 7. Политика аудита Аудит использований привилегий производит запись событий, в случае использования пользователями специфических системных привилегий. Рекомендуется установить ее на запись событий в случае отказа для их получения пользователям. Данная информация может помочь специалистам по компьютерной безопасности в выяснении того, что произошло с системой. 8. Политика аудита Аудит отслеживания процессов позволяет вести аудит по таким событиями процесса, как запуск программы, выход из нее, а также другим важным системным событиям. Установка аудита данных событий по отказу может помочь понять, что происходит в системе и, возможно, где ей требуется помощь. 9. Политика аудита Аудит системных событий позволяет проводить аудит таких системных событий как перезагрузка или выключение компьютера, а также других важных сообщений, касающихся безопасности системы. Рекомендуется всегда устанавливать данную политику аудита, как минимум, на запись события, в случае его отказа. Особенности аудита системы: 1. Чем больше событий в различных ситуациях протоколируется, тем больше сообщений аудита системы будете получено, следовательно, тем больше информации будет о процессах, происходящих внутри системы, инициируемые пользователями или различным программным обеспечением.
2. Чем больше сообщений системы будет получено, тем медленнее будет работать система и возможно слишком быстрое переполнение внутреннего лога безопасности операционной системы. В результате чего придется достаточно часто производить его очистку в программе Просмотр событий.
Просмотр событий. Программа Просмотр событий (Event Viewer) представляет специальную системную программу, входящую в состав Windows XP, которая позволяет видеть все сообщения, записанные в лог-файлы различными приложениями и самой ОС. Программа Event Viewer (рис.1.4.) находится: Пуск\Панель управления\Администрирование\Просмотр событий В данном окне содержится три пункта: Приложение, Безопасность, Система (Application, Security, System), иначе их называют логами, лог-файлами или, соответственно, журналом приложений, журналом безопасности и журналом системы. Информация, содержащаяся в них, является сообщениями, записанными приложениями системной безопасности ОС и системными компонентами Windows XP. Предполагается, что информация, содержащаяся в этих разделах важна для пользователя, и он должен периодически с ней знакомиться. Рис. 1.4. Стартовое окно программы Просмотр событий.
Типы протоколируемых системой событий в логах: - ошибка – данное сообщение сообщает об ошибке, такой как возможная утеря данных или нарушение функционирования программного обеспечения, например, невозможность старта одного из системных сервисов или ошибка при завершении приложения; - предупреждение – сообщение не обязательно является чем-то важным, но может говорить об ошибке, которая может возникнуть впоследствии, например, нежелание какой-либо программы или сервиса во время выключения машины корректно завершаться; - уведомление – сообщение, что описываемое событие успешно завершилось в приложении, драйвере или сервисе, например, успешный старт какого-либо системного сервиса или его остановка; - аудит успехов – сообщение о том, что контролируемое событие в политике аудита и системой безопасности успешно завершилось, например, был произведен корректный вход одного из пользователей в систему; - аудит отказов – класс событий, который будет сообщать о том, что контролируемое в политике аудита и системой безопасности событие завершилось с ошибкой, например, сообщение, сгенерированное при ошибке доступа к какому-либо объекту системы, или сообщение при регистрации пользователя, если он ошибся паролем.
Рис. 1.5. Содержимое раздела Приложение программы Просмотр событий.
Рис. 1.6. Типичное сообщение, содержащееся в одном логе системы.
За запись сообщений в лог системы ответственен сервис Event Log, который стартует при загрузке Windows XP. Вход в раздел Security имеют только пользователи, входящие в состав группы локальных администраторов. По умолчанию в этот раздел система не пишет никаких сообщений. Для активации записи сообщений необходимо установить требуемую политику аудита системы (п.1.1.). Для просмотра свойств конкретного уведомления следует сделать щелчок правой кнопкой мыши на событии. В появившемся контекстном меню выбрать команду Свойства. Появится окно Свойства: Уведомление. В верхней части окна (рис.1.6.) содержится типичная информация. В средней и нижней его части содержится информация, различная для каждого из сообщений. Информационные поля в описании события Even (формат протоколируемых событий): - дата – поле определяет дату, когда данное событие произошло; - время – поле определяет локальное время, когда это событие наступило; - пользователь – поле определяет пользователя, от имени которого произошло событие (описание пользователя помещено в Event Log); поле может содержать имя клиента, вызвавшего событие, при обработке его запроса в программе-сервере, «N/A» определяет принадлежность данного события к операционной системе. - компьютер – поле содержит имя компьютера, на котором произошло данное событие; - код (ID) – поле содержит идентификатор события, который вместе с полем Источник используются для анализа ситуации разработчиками программного обеспечения, вызвавшего данную запись в логе; при обращении в службу поддержки по их требованию нужно сообщить эти значения полей интересующих их событий системы; - источник – поле содержит имя программного обеспечения, драйвера или компонента системы, вызвавшего запись события; этот идентификатор, а также поле Event ID используются для анализа ситуации разработчиками программного обеспечения, вызвавшего данную запись в логе; - тип – поле содержит один из пяти типов сообщений, которым оно является; - категория – поле классифицирует событие в программном обеспечении, которое его вызвало; данная информация наиболее часто используется в логе событий системы безопасности как идентификатор того, какой именно тип контролируемого события в политике аудита был при записи сообщения. - описание – поле используется для вывода дополнительной информации, которая может лучше понять природу произошедшего в системе события. В процессе запуска, работы и выключения системы скапливается большое количество событий, на изучение и просмотр которых требуется много времени. Поэтому свое внимание следует сконцентрировать на событиях, имеющих тип: Ошибка, Предупреждение, Аудит отказов. Первые два типа обычно появляются в разделах System и Application и сообщают о том, на что следует обратить внимание в работе системы и приложения, например, проблемы в работе жестких дисков, системных программ или самой операционной системы. Следует внимательно относиться к таким сообщениям, если их пропускать, то может случиться, что в будущем система перестанет корректно функционировать, а данные могут оказаться потерянными, если не производилось их регулярное резервирование. Сообщения системы безопасности Аудит отказов могут быть связаны с тем, что на систему осуществлялась какая-либо атака извне или кто-то из пользователей забыл свой пароль. Частое появление таких сообщений может означать, что кто-то подбирает пароль к определенным учетным записям системы. В данных случаях следует быть особенно внимательными, так как таких записей в Event Log бывает не много. При переполнении разделов лог-файла системы следует: - войти в систему под правами системного администратора; - загрузить программу Просмотр событий (Event Viewer); - выбрать раздел; - раскрыть пункт операционного меню Действия или сделать щелчок правой кнопкой мыши на разделе и в появившемся контекстном меню выбрать пункт Стереть все события (рис.1.7.); - на экране появится диалоговое окно, в котором будет предложено сохранить события, которые будут удалены, в отдельном файле, (рис.1.8.). Рекомендуется иметь историю совершенных событий, что может помочь при решении возникших проблем, т.к. при сохранении событий всегда можно проследить их начало и принять соответствующее решение. Поэтому следует нажать кнопку Да (рис.1.8.) и выбрать место и имя для сохраняемого файла, содержащего удаляемые сообщения из части Events Log. Рис. 1.7. Меню для очистки выбранного раздела лог-файла системы.
Рис. 1.8. Предложение системы о сохранении стираемых событий.
Если впоследствии придется просмотреть сохраненные события, то следует в программе Просмотр событий раскрыть пункт операционного меню Действия и выбрать команду Открыть файл журнала (рис.1.7.), события, находящиеся в файле, отобразятся на экране. Для выполнения операций очистки разделов Events Log, а также сохранения и загрузки файлов, содержащих сообщения из этих разделов, требуются права системного администратора.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|