Управление системой аудита в ОС Windows

Размещено на http://www.allbest.ru/

Практическое занятие

Безопасность операционных систем

Управление системой аудита в ОС Windows

1. Настройка параметров электронного журнала безопасности в ОС Windows

аудит сервер электронный шаблон

Политика аудита

Перед включением аудита создайте политику аудита. Политика аудита определяет категории событий, связанных с безопасностью, для которых следует проводить аудит. По умолчанию параметры политики аудита не определены. На контроллерах доменов аудит отключен по умолчанию. С помощью аудита различных категорий можно создавать политики аудита, удовлетворяющие требованиям безопасности организации.

Для проведения аудита можно выбрать следующие категории событий.

Аудит событий входа в систему

Аудит управления учетными записями

Аудит доступа к службе каталогов

Аудит входа в систему

Аудит доступа к объектам

Аудит изменения политики

Аудит использования привилегий

Аудит отслеживания процессов

Аудит системных событий

Для проведения аудита объектов на контроллере домена необходимо включить категорию аудита доступа к службе каталогов. Для проведения аудита на рядовом сервере или на рабочей станции необходимо включить категорию аудита доступа к объектам. После включения категории доступа к объектам для каждой группы или пользователя можно указать типы доступа, для которых следует проводить аудит. Дополнительные сведения о настройке аудита объектов см. в разделе Параметры аудита объектов.

Чтобы включить аудит локальных объектов, необходимо войти в систему с учетной записью члена группы «Администраторы».

Для настройки аудита на сервере необходимо открыть (создать - консоль групповая политика) и запустить консоль управления:

Панель управления > администрирование > Локальные параметры безопасности.

Рис. 1. Окно консоли управления: «Локальные параметры безопасности»

Параметры аудита соответственно необходимо настроить в подразделе:

Локальные политики > Политика аудита.

Группы событий аудита (политики аудита):

Аудит входа в систему - определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на данном компьютере, или подключиться к нему через сеть. Если на контроллере домена ведется учет успешных попыток для политики «Аудит событий входа в систему», попытки входа в систему на рабочих станциях не будут подлежать аудиту. События входа в систему регистрируются только при попытках интерактивного и сетевого входа на сам контроллер домена. Политика «Аудит событий входа в систему» действует там, где размещена учетная запись, а политика «Аудит входа в систему» -- там, где предпринимается попытка входа. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики установите флажок - Определить следующие параметры политики и снимите флажки Успех и Отказ.

Аудит доступа к объектам - определяет, подлежит ли аудиту событие доступа пользователя к объекту -- например, к файлу, папке, разделу реестра, принтеру и т.п., -- для которого задана собственная системная таблица управления доступом (SACL). Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту, для которого определена таблица SACL. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики установите флажок - Определить следующие параметры политики и снимите флажки Успех и Отказ.

Аудит доступа к службе каталогов - определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом (SACL). По умолчанию эта политика отменяет аудит для объекта групповой политики «Стандартный контроллер домена» и не определена для рабочих станций и серверов, на которых она не имеет смысла. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL. Чтобы отключить аудит, в диалоговом окне - Свойства данного параметра политики установите флажок - Определить следующие параметры политики и снимите флажки - Успех и Отказ. Следует отметить, что системную таблицу управления доступом для объекта Active Directory можно установить на вкладке Безопасность диалогового окна Свойства этого объекта. Данная политика аналогична политике Аудит доступа к объектам, только она применяется к объектам Active Directory, а не к объектам файловой системы и реестра.

Аудит изменения политики - Определяет, подлежит ли аудиту каждый факт изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики установите флажок - Определить следующие параметры политики и снимите флажки Успех и Отказ.

Аудит использования привилегий - Определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики установите флажок - Определить следующие параметры политики и снимите флажки Успех и Отказ. По умолчанию: аудиту не подлежат попытки применения нижеуказанных прав пользователей, даже если для политики «Аудит использования привилегий» задан аудит успехов или аудит отказов:

- Обход перекрестной проверки

- Отладка программ

- Создание маркерного объекта

- Замена маркера уровня процесса

- Создание журналов безопасности

- Архивирование файлов и каталогов

- Восстановление файлов и каталогов

Аудит отслеживания процессов - Определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики установите флажок - Определить следующие параметры политики и снимите флажки Успех и Отказ.

Аудит системных событий - Определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики установите флажок - Определить следующие параметры политики и снимите флажки Успех и Отказ.

Аудит событий входа в систему - Определяет, подлежит ли аудиту каждая попытка пользователя войти в систему или выйти из нее на другом компьютере, при условии, что данный компьютер используется для проверки подлинности учетной записи. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему. Чтобы отключить аудит, в диалоговом окне Свойства данного параметра политики установите флажок - Определить следующие параметры политики и снимите флажки Успех и Отказ. Если аудит успешных попыток входа в систему включен на контроллере домена, в журнал будет заноситься запись о каждом пользователе, прошедшем проверку на этом контроллере домена, несмотря на то, что пользователь на самом деле входит в систему на рабочей станции домена.

Аудит управления учетными записями - Определяет, подлежат ли аудиту все события, связанные с управлением учетными записями на компьютере. К таким событиям относятся, в частности, следующие: создание, изменение или удаление учетной записи пользователя или группы; переименование, отключение или включение учетной записи пользователя; задание или изменение пароля. Если этот параметр политики определен, можно задать аудит успехов или отказов, либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями. Чтобы отключить аудит, в диалоговом окне «Свойства» данного параметра политики установите флажок - Определить следующие параметры политики и снимите флажки Успех и Отказ.

Шаблоны безопасности.

При помощи оснастки «Шаблоны безопасности» в консоли управления (MMC) можно создать политику безопасности для компьютера или сети. Используя эту единственную оснастку, можно управлять всей безопасностью системы. Оснастка «Шаблон безопасности» не предоставляет новых параметров безопасности, а упорядочивает и создает удобный доступ ко всем имеющимся атрибутам безопасности, упрощая администрирования.

Чтобы применить шаблон безопасности на локальном компьютере, можно использовать средство «Анализ и настройка безопасности» или средство командной строки Secedit. Дополнительные сведения см. в разделе Чтобы настроить безопасность локального компьютера.

Шаблоны безопасности можно использовать, чтобы определить представленные далее элементы.

Политики учетных записей

Политика паролей

Политика блокировки учетной записи

Политика Kerberos

Локальные политики

Политика аудита

Назначение прав пользователя

Параметры безопасности

Журнал событий. Параметры журналов событий приложений, системных событий и событий безопасности

Группы с ограниченным доступом. Состав групп с особыми требованиями к безопасности

Системные службы. Параметры запуска и разрешения для системных служб

Реестр. Разрешения для разделов реестра

Файловая система. Разрешения для файлов и папок

Все шаблоны хранятся в текстовых файлах с расширением .inf. Это позволяет копировать, вставлять, импортировать и экспортировать любые атрибуты шаблона. В шаблоне безопасности могут храниться все атрибуты безопасности, за исключением политик безопасности IP и политик открытого ключа.

Новые и готовые шаблоны

Для обеспечения различной степени безопасности на предприятии, в операционных системах семейства Microsoft® Windows® Server 2003 и операционной системе Microsoft® Windows® XP предусмотрен набор готовых шаблонов. Существует несколько готовых шаблонов, которые рекомендуется использовать для защиты системы в зависимости от потребностей конкретного пользователя.

Для того чтобы просмотреть стандартные шаблоны безопасности необходимо выполнить следующие операции:

Пуск > Выполнить > mmc.

Выбрать пункт меню: Консоль > Добавить или удалить оснастку …

В появившемся окне:

Нажать на кнопку «Добавить…»

В появившемся окне «Добавить изолированную оснастку» выбрать оснастку: «Шаблоны безопасности» и нажать на кнопку «Добавить…», а затем на кнопку «Закрыть»

Закрыть окно «Добавить / удалить оснастку» нажатием на кнопку «ОК».

Далее можно просмотреть различные стандартные шаблоны безопасности. Нас интересует система аудита. На следующем рисунке пример шаблона высоких требований для контроллера домена:

Существует семь стандартных шаблонов безопасности:

compatws - разрешения по умолчанию для рабочих станций и серверов сначала создаются для их локальных групп: «Администраторы», «Опытные пользователи» и «Пользователи». Члены группы «Администраторы» обладают наибольшими правами, тогда как члены группы «Пользователи» -- наименьшими.

hisecws и hisecdc - группа шаблонов повышенной защиты включает в себя шаблоны, налагающие дополнительные ограничения на уровни кодировки и подписи, необходимые для проверки подлинности и для данных, передаваемых по безопасным каналам между клиентами SMB и серверами. Например, тогда как парметры шаблонов безопасности определяют отказ серверов от ответов LAN Manager, парметры шаблонов повышенной защиты определяют отказ серверов как от ответов LAN Manager, так и от ответов NTLM. Шаблон защиты включает подписание пакетов SMB на сервере, а для шаблона повышенной защиты такое подписание является необходимым. Для шаблонов повышенной защиты является необходимым надежная кодировка и подпись для данных, передаваемых по безопасному каналу между доменом и членом домена и между двумя доменами, между которыми установлены доверительные отношения.

rootsec - с помощью этого шаблона определяются новые разрешения для корневого каталога Windows XP Professional. По умолчанию эти разрешения определяются шаблоном Rootsec.inf для корневого каталога системного диска. Этот шаблон можно использовать, чтобы повторно применить разрешения для корневого каталога применения, если они были случайно изменены. Шаблон также может быть изменен для применения этих разрешений для корневого каталога к другим томам. Шаблоном не переопределяются явные разрешения, определенные для всех дочерних объектов. Шаблоном распространяются только наследованные дочерними объектами разрешения.

securedc и securews - разрешения по умолчанию для рабочих станций и серверов сначала создаются для их локальных групп: «Администраторы», «Опытные пользователи» и «Пользователи». Члены группы «Администраторы» обладают наибольшими правами, тогда как члены группы «Пользователи» -- наименьшими.

setup security -является шаблоном для конкретного компьютера и содержит параметры безопасности, используемые по умолчанию, которые применяются во время установки операционной системы, включая разрешения для файлов корневого каталога системного диска. Этот шаблон можно использовать полностью или частично с целями аварийного восстановления. Шаблон Setup security.inf нельзя применять при помощи оснастки «Групповая политика».

Для получения дополнительной помощи можно обратиться к стандартной справки (справка по консоли управления):

Чтобы применить или изменить параметры политики аудита для объекта с помощью групповой политики.

Откройте консоль управления MMC.

В меню Консоль выберите команду Добавить или удалить оснастку и нажмите кнопку Добавить.

Выберите Редактор объектов групповой политики и нажмите кнопку Добавить.

В мастере групповой политики на странице Выбор объекта групповой политики нажмите кнопку Обзор.

В диалоговом окне Поиск объекта групповой политики выберите объект групповой политики (GPO) в нужном домене, узле или подразделении или создайте новый, нажмите кнопку OK, а затем нажмите кнопку Готово.

Нажмите кнопку Закрыть, затем кнопку OK.

Выполните одно или несколько из следующих действий.

Объект аудита	Выполните следующие действия
Системные службы	В дереве консоли щелкните узел Системные службы. Где? Конфигурация компьютера Конфигурация Windows Параметры безопасности Системные службы В области сведений щелкните правой кнопкой мыши службу, для которой требуется применить или изменить настройки параметров аудита, и выберите команду Свойства. Установите флажок Определить следующий параметр политики, если он еще не установлен, и выберите нужный параметр. Нажмите кнопку Изменить безопасность.
Разделы реестра	В дереве консоли выберите узел Реестр. Где? Конфигурация компьютера Конфигурация Windows Параметры безопасности Реестр Чтобы добавить раздел реестра в текущий объект групповой политики (GPO) для проведения аудита, щелкните правой кнопкой мыши узел Реестр и выберите команду Добавить раздел. Перейдите к нужному разделу и нажмите кнопку OK. Чтобы применить или изменить параметры аудита для раздела реестра, который уже был добавлен в GPO, щелкните правой кнопкой мыши раздел реестра в области сведений, выберите команду Свойства и нажмите кнопку Изменить безопасность.
Файлы или папки	В дереве консоли выберите узел Файловая система. Где? Конфигурация компьютера Конфигурация Windows Параметры безопасности Файловая система Чтобы добавить файл или папку в этот GPO для проведения аудита, щелкните правой кнопкой мыши узел Файловая система и выберите команду Добавить раздел. Перейдите к нужному файлу или создайте новую папку и затем нажмите кнопку OK. Чтобы применить или изменить параметры аудита для файла или папки, которые уже были добавлены в GPO, щелкните правой кнопкой мыши раздел реестра в области сведений, выберите команду Свойства и нажмите кнопку Изменить безопасность.

Нажмите кнопку Дополнительно и перейдите на вкладку Аудит.

Выполните одно из следующих действий.

Для добавления нового пользователя или группы нажмите кнопку Добавить. В поле Имя введите имя пользователя или группы и нажмите кнопку ОК.

Чтобы просмотреть или изменить параметры аудита для имеющейся группы или пользователя, выберите соответствующее имя и нажмите кнопку Изменить.

Чтобы отменить аудит для имеющейся группы или пользователя, выберите соответствующее имя и нажмите кнопку Удалить, затем нажмите кнопку OK и пропустите оставшуюся часть процедуры.

Выберите нужный элемент в списке Применять.

В поле Доступ укажите, для каких действий необходимо провести аудит, установив соответствующие флажки.

Чтобы производить аудит успешных событий, установите флажок Успех.

Чтобы прекратить аудит успешных событий, снимите флажок Успех.

Чтобы производить аудит неуспешных событий, установите флажок Отказ.

Чтобы прекратить аудит неуспешных событий, снимите флажок Отказ.

Или, чтобы прекратить аудит всех событий, нажмите кнопку Очистить все.

Если требуется предотвратить наследование этих элементов аудита файлами и подпапками дерева, установите флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера.

Чтобы применить или изменить параметры политики аудита для локального файла или папки

Откройте проводник Windows.

Щелкните правой кнопкой мыши файл или папку, для которых требуется провести аудит, выберите команду Свойства и откройте вкладку Безопасность.

Нажмите кнопку Дополнительно и перейдите на вкладку Аудит.

Выполните одно из следующих действий.

Для добавления нового пользователя или группы нажмите кнопку Добавить. В поле Введите имена выбираемых объектов введите имя пользователя или группы и нажмите кнопку OK.

Чтобы отменить аудит для имеющейся группы или пользователя, выберите соответствующее имя, нажмите кнопку Удалить, кнопку OK, затем пропустите оставшуюся часть процедуры.

Чтобы просмотреть или изменить параметры аудита для имеющейся группы или пользователя, выберите соответствующее имя и нажмите кнопку Изменить.

В поле Применять выберите место, в котором следует провести аудит.

В поле Доступ укажите, для каких действий необходимо провести аудит, установив соответствующие флажки.

Чтобы производить аудит успешных событий, установите флажок Успех.

Чтобы прекратить аудит успешных событий, снимите флажок Успех.

Чтобы производить аудит неуспешных событий, установите флажок Отказ.

Чтобы прекратить аудит неуспешных событий, снимите флажок Отказ.

Или, чтобы прекратить аудит всех событий, нажмите кнопку Очистить все.

Если требуется предотвратить наследование этих элементов аудита последующими файлами и подпапками исходного объекта, установите флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера.

Перед настройкой аудита файлов и папок необходимо разрешить аудит доступа к объекту, установив параметры политики аудита для категории событий доступа к объектам. Если аудит доступа к объекту не будет разрешен, при настройке аудита файлов и папок будет выдано сообщение об ошибке, а аудит файлов и папок проводиться не будет. Для получения дополнительных сведений о разрешении аудита доступа к объекту см. ссылку «См. также», раздел «Определение и изменение параметров политики аудита для категории события».

Примечания

Для выполнения этой процедуры необходимо войти в систему в качестве члена группы администраторов либо иметь право Управление аудитом и журналом безопасности в оснастке Групповая политика.

Чтобы открыть проводник, нажмите кнопку Пуск и выберите команды Программы, Стандартные и Проводник.

Для получения сведений об аудите раздела локального реестра см. ссылку «См. также», раздел «Аудит работы с разделом реестра».

После включения аудита доступа к объектам просмотрите результаты изменений в журнале безопасности в программе «Просмотр событий».

Настройка аудита доступа к файлам и папкам возможна только на дисках NTFS.

Если:

в диалоговом окне Элемент аудита для файла или папки в поле Доступ флажки недоступны;

в диалоговом окне Дополнительные параметры безопасности для файла или папки кнопка Удалить недоступна;

значит параметры аудита унаследованы от родительской папки.

Так как размер журнала безопасности ограничен, файлы и папки для проведения аудита следует выбирать аккуратно. Также следует решить, какой объем дискового пространства следует отвести под хранение журнала безопасности. Максимальный размер журнала безопасности задается в окне просмотра событий.

2. Просмотр событий

Программа «Просмотр событий» используется для просмотра событий, записанных в журналы приложений, безопасности и системы.

Чтобы начать работу с программой «Просмотр событий» выполните следующие действия.

Запустите программу Просмотр событий.

Откройте справку по программе «Просмотр событий».

Чтобы сохранить журнал в файле

Запустите программу Просмотр событий.

В дереве консоли щелкните правой кнопкой мыши журнал, который требуется сохранить в файле, и выберите команду Сохранить файл журнала как.

В поле Имя файла введите имя файла, в котором будет сохранен журнал.

В поле со списком Тип файла выберите формат файла и нажмите кнопку Сохранить.

Примечания

Для выполнения этой процедуры необходимо входить в группу Администраторы или Операторы архива на конечном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы Администраторы домена. При этом по соображениям безопасности рекомендуется использовать команду Запуск от имени.

Чтобы открыть окно «Просмотр событий», нажмите кнопку Пуск и выберите команды Настройка и Панель управления. Дважды щелкните значок Администрирование, а затем дважды щелкните значок Просмотр событий.

Журнал событий, сохраненный в основном формате файла журнала (.evt), может впоследствии быть изучен в окне просмотра событий. Журнал, сохраненный в текстовом формате или формате с разделением записей запятыми (*.txt и *.csv, соответственно), может быть открыт в других программах, например в текстовых редакторах или в программах обработки электронных таблиц, но не в окне просмотра событий.

Журналы событий сохраняются в основном формате файла журнала только на компьютере, где возникают события; например, при использовании окна просмотра событий для просмотра журналов событий на удаленном компьютере.

Для сохранения локального журнала событий в основном формате файла журнала на другом компьютере введите \\имя_удаленного_компьютера\ресурс в поле Имя файла, а затем введите путь к сохраняемому файлу и его имя.

При сохранении файла журнала сохраняется весь журнал, вне зависимости от установленного фильтра. При сохранении журнала порядок сортировки будет утерян. Однако журнал, сохраненный в файле, можно опять фильтровать и сортировать, открывая его в окне «Просмотр событий».

Сохранение журнала в файле не влияет на содержимое текущего журнала событий.

Чтобы уничтожить файл журнала, следует удалить файл в окне проводника Windows.

Задание

В ОС Windows настроить и применить политику аудита, проверить аудит входа в систему: разрешенным пользователем (учетная запись которого существует); разрешенным пользователем (учетная запись которого существует) с ошибочным паролем и неразрешенным пользователем (учетной записи которого в системе не создано). Прокомментировать записи аудита в журнале безопасности.

Настроить аудит доступа к файлу «*.*» для пользователя «User1», (доступ которому разрешен) и для пользователя «User2», которому доступ к файлу запрещен. Прокомментировать записи аудита в журнале безопасности.

Литература

1. Д. Соломон, М. Русинович. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP и Windows 2000. Мастер-класс / Пер. с англ. - 4-е изд. - М.: Издательско-торговый дом «Русская Редакция», 2005. - 992 с.

2. В. Комашинский, А. Козачок. Безопасность доступа к данным в операционных системах. - Орел.: Академия ФАПСИ, 2003. - 128 с.

3. Роберта Брагг. Система безопасности Windows 2000. - М.: Издательский дом «Вильямс», 2001. - 592 с.

4. ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" (три части).

Размещено на Allbest.ru

...