Регистрация и аудит в сетевой операционной системе

Адрес

http://90.189.213.191:4422/temp/nkpsis/tema_mdk03_tc33/lek7/    инд: 2-124-3-7    

 

 

Краткие теоретические сведения

Регистрация является еще одним механизмом обеспечения защищенности информационной системы.

Этот механизм основан на подотчетности системы обеспечения безопасности, фиксирующий все события, касающиеся безопасности. Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита.

Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т.д.

 

Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день).

Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

 

Практическими средствами регистрации и аудита являются:

 различные системные утилиты и прикладные программы;

 регистрационный (системный или контрольный) журнал.

Первое средство является обычно дополнением к мониторингу, осуществляемому администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.

Регистрационный журнал — это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.

 

Пример: Активизировать механизмы регистрации и аудита операционной системы Windows 2000 (ХР) и настройка параметров просмотра аудита папок и файлов

Алгоритм выполнения работы. А)

Активизация механизма регистрации и аудита с помощью оснастки Локальные политики безопасности.

Для активизации аудита на изолированном компьютере выполните следующие действия.  

Выберите кнопку Пуск панели задач.  

Откройте меню Настроить/Панель управления.  

В открывшемся окне выберите ярлык Администрирование/Локальная политика безопасности.  

Выберите пункт Политика аудита

 

 

 Для включения или отключения параметров аудита выберите требуемый параметр и дважды щелкните левой клавишей мыши.

 Для каждого параметра можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа (Рисунок 2).

 

Параметр

Значение

Аудит событий входа в систему

 

Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на другом компьютере, при условии, что данный компьютер используется для проверки подлинности учетной записи. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

 

Аудит управления учетными записями

 

Определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на компьютере. К таким событиям относятся следующие события:  создание, изменение или удаление учетной записи пользователя или группы;  переименование, отключение или включение учетной записи пользователя;  задание или изменение пароля.

 

Аудит доступа к службе каталогов

 

Определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом.

 

Аудит входа в систему

 

Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на данном компьютере, или подключиться к нему через сеть

Аудит доступа к объектам

 

Определяет, подлежит ли аудиту событие доступа пользователя к объекту — например, к файлу, папке, разделу реестра, принтеру и т.п., — для которого задана собственная системная таблица управления доступом.

 

Аудит изменения политики

 

Определяет, подлежит ли аудиту каждый факт изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

 

Аудит использования привилегий

Определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом.

 

Аудит отслеживания процессов

 

Определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту.

Аудит системных событий

 

Определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности.

 

 

 По умолчанию все параметры политики аудита выключены.  Включите аудит успеха и отказа для всех параметров.  Для этого выполните пункт 5.  Нажмите кнопку ОК.

 

Чтобы настроить, просмотреть или изменить настройки аудита файлов и папок выполните следующие действия.  



 

Примечание.

После включения аудита операционная система Windows 2000(ХР) начинает отслеживать события, связанные с безопасностью. Полученную в результате информацию можно просмотреть с помощью оснастки Просмотр событий. При просмотре журнала событий можно выяснить, кто предпринял попытку выполнения неразрешенного ему действия.

Для того чтобы иметь возможность настраивать аудит для файлов и папок, необходимо иметь права администратора.

Для просмотра событий выполните следующие действия.

·        Выберите кнопку Пуск панели задач.  

·        Откройте меню Настроить/Панель управления.  

·        В открывшемся окне выберите ярлык Администрирование и далее Просмотр событий.  

·        В открывшемся окне выберите пункт Безопасность (Рисунок ).  В правой половине открытого окна появится список всех зарегистрированных событий.

 

 Для просмотра требуемого события вызовите его свойства из контекстного меню или дважды щелкните по его названию левой клавишей мыши.  В результате появится окно, как показано на рисунке 4.

 

 

·        В показанном примере зафиксирован успех отключения учетной записи Гость пользователем Админ 8.05.04 в 18.28.31.  

·        В примере, показанном на рисунке ниже, зафиксирован отказ входа в систему пользователю NT AUTHORITY\SYSTEM (системная учетная запись) 08.05.04 в 17:39:58 по причине «неизвестное имя пользователя или неверный пароль».

 

 

·        Таким образом, просмотр журнала событий позволяет в полной мере проанализировать действия пользователей и процессов.

·         

 

 

Практическое задание -3 (пз-3)  « Фиксация попыток входа без логина пароля»

 

Оценка пз-3

 

 

Электронные источники:

 

 

 

Подготовил Шабронов А.А.  тс +7-913-905-8839 shabronov@ngs.ru

Ред.2018-10-08

 

Приложения и подсказки

1.  Для других ОС  например В7  название  вкладок аудита чуть-чуть отличается  вместо

 «Локальные параметры безопасности» заголовок

 «Локальная  политика   безопасности»

Что однако, цели и задачи не меняет! 

Найти данную вкладку можно через поисковую строку Виндовс, как показано ниже

 

Точно такой же подход и для других операционных систем начинайте поиск со слова  «локальные …»

 

Ред.2020-12-07