Использование системы Аудит
Аудит как система Windows позволяющая отслеживать и журналировать информацию о том, когда, кем и с помощью какой программы был удален документ. Принцип действия системы и пошаговая инструкция ее использования в Windows 2003/XP и Windows 2008/Vista.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | реферат |
Язык | русский |
Дата добавления | 03.01.2015 |
Размер файла | 409,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
РЕФЕРАТ
На тему: «Использование системы Аудита»
по дисциплине: «Применение инженерно-технических средств обеспечения информационной безопасности»
Москва 2014
Содержание
1. Аудит для отслеживания деятельности пользователей
2. Что нужно настроить
3. Кто же удалил документы (Windows 2003/XP)
4. Кто же удалил документы (Windows 2008/Vista)
1. Аудит для отслеживания деятельности пользователей
Иногда случаются события, которые требуют от нас ответить на вопрос «кто это сделал?» Такое может происходить «редко, но метко», поэтому к ответу на вопрос следует готовиться заранее.
Практически повсеместно существуют проектные отделы, бухгалтерия, разработчики и другие категории сотрудников, совместно работающие над группами документов, хранящихся в общедоступной (Shared) папке на файловом сервере или на одной из рабочих станций. Может случиться так, что кто-то удалит важный документ или директорию из этой папки, в результате чего труд целого коллектива может быть потерян. В таком случае, перед системным администратором возникает несколько вопросов:
· Когда и во сколько произошла проблема?
· Из какой наиболее близкой к этому времени резервной копии следует восстановить данные?
· Это случилось непреднамеренно, или же кто-то действовал с умыслом?
· Может, имел место системный сбой, который может повториться ещё раз?
В Windows имеется система Аудита, позволяющая отслеживать и журналировать информацию о том, когда, кем и с помощью какой программы были удалены документы. По умолчанию, Аудит не задействован -- слежение само по себе требует определённый процент мощности системы, а если записывать всё подряд, то нагрузка станет слишком большой. Тем более, далеко не все действия пользователей могут нас интересовать, поэтому политики Аудита позволяют включить отслеживание только тех событий, что для нас действительно важны.
Система Аудита встроена во все операционные системы Microsoft Windows NT: Windows XP/Vista/7, Windows Server 2000/2003/2008. К сожалению, в системах серии Windows Home аудит спрятан глубоко, и его настраивать слишком сложно.
2. Что нужно настроить
аудит информация документ windows
Для включения аудита зайдите с правами администратора в компьютер, предоставляющий доступ к общим документам, и выполните команду Start > Run > gpedit.msc. В разделе Computer Configuration раскройте папку Windows Settings > Security Settings > Local Policies > Audit Policies:
Дважды щёлкните по политике Audit object access (Аудит доступа к объектам) и выберите галочку Success. Этот параметр включает механизм слежения за успешным доступом к файлам и реестру. Действительно, ведь нас интересуют только удавшиеся попытки удаления файлов или папок. Включите Аудит только на компьютерах, непосредственно на которых хранятся отслеживаемые объекты.
Простого включения политики Аудита недостаточно, мы также должны указать, доступ к каким именно папкам требуется отслеживать. Обычно такими объектами являются папки общих (разделяемых) документов и папки с производственными программами или базами данных (бухгалтерия, склад и т.п.) -- то есть, ресурсы, с которыми работают несколько человек.
Заранее угадать, кто именно удалит файл, невозможно, поэтому слежение и указывается за Всеми (Everyone). Удавшиеся попытки удаления отслеживаемых объектов любым пользователем будут заноситься в журнал. Вызовите свойства требуемой папки (если таких папок несколько, то всех их по очереди) и на закладке Security (Безопасность) > Advanced (Дополнительно) > Auditing (Аудит) добавьте слежение за субъектом Everyone (Все), его успешными попытками доступа Delete (Удаление) и Delete Subfolders and Files (Удаление подкаталогов и файлов):
Событий может журналироваться довольно много, поэтому также следует отрегулировать размер журнала Security (Безопасность), в который они будут записываться. Для этого выполните команду Start > Run > eventvwr.msc. В появившемся окне вызовите свойства журнала Security и укажите следующие параметры:
· Maximum Log Size = 65536 KB (для рабочих станций) или 262144 KB (для серверов)
· Overwrite events as needed.
На самом деле, указанные цифры не являются гарантированно точными, а подбираются опытным путём для каждого конкретного случая.
3. Кто же удалил документы (Windows 2003/XP)
Нажмите Start > Run > eventvwr.msc и откройте для просмотра журнал Security (Безопасность). Журнал может быть заполнен событиями, прямого отношения к проблеме не имеющими. Щёлкнув правой кнопкой по журналу Security, выберите команду View > Filter и отфильтруйте просмотр по следующим критериям:
· Event Source:Security;
· Category: Object Access;
· Event Types: Success Audit;
· Event ID: 560;
Просмотрите список отфильтрованных событий, обращая внимание на следующие поля внутри каждой записи:
· Object Name. Название искомой папки или файла;
· Image File Name. Имя программы, с помощью которой удалили файл;
· Accesses. Набор запрашиваемых прав.
Программа может запрашивать у системы сразу несколько типов доступа -- например, Delete+Synchronize или Delete+Read_Control. Значимым для нас правом является Delete.
4. Кто же удалил документы (Windows 2008/Vista)
Нажмите Start > Run > eventvwr.msc и откройте для просмотра журнал Security (Безопасность). Журнал может быть заполнен событиями, прямого отношения к проблеме не имеющими. Щёлкнув правой кнопкой по журналу Security, выберите команду View > Filter и отфильтруйте просмотр по следующим критериям:
· Event Source: Security;
· Category: Object Access;
· Event Types: Success Audit;
· Event ID: 4663;
Не спешите интерпретировать все удаления как злонамеренные. Эта функция зачастую используется при обычной работе программ -- например, исполненяя команду Save (Сохранить), программы пакета Microsoft Office сначала создают новый временный файл, сохраняют в него документ, после чего удаляют предыдущую версию файла. Аналогично, многие приложения баз данных при запуске сначала создают временный файл блокировок (.lck), затем удаляют его при выходе из программы.
Мне приходилось на практике сталкиваться и со злонамеренными действиями пользователей. Например, конфликтный сотрудник некоей компании при увольнении с места работы решил уничтожить все результаты своего труда, удалив файлы и папки, к которым он имел отношение. События такого рода хорошо заметны -- они генерируют десятки, сотни записей в секунду в журнале безопасности. Конечно, восстановление документов из Shadow Copies (Теневых Копий) или ежесуточно автоматически создаваемого архива не составляет особого труда, но при этом я мог ответить на вопросы «Кто это сделал?» и «Когда это произошло?».
Размещено на Allbest.ru
...Подобные документы
Универсальная многоцелевая сетевая операционная система Windows NT Server. Использование Windows NT Workstation как невыделенного сервера в одноранговых сетях и в качестве клиента сетей. Операционные системы Windows 2003, Windows Vista и Windows 7.
презентация [6,2 K], добавлен 23.10.2013Новая операционная система – Windows Vista. Новая интеллектуальная технология управления системной памятью. Обеспечение совместимости. Преимущества Windows Vista перед Windows XP. Варианты программного обеспечения Windows Vista. Свойство мобильности.
реферат [18,6 K], добавлен 19.11.2008Общее понятие об оперативной системе Windows Vista. Сравнительный анализ систем Windows XP и Windows Vista. Специфика процесса установки, трехмерный интерфейс Aero Glass, действие некоторых мини-приложений. Новости управления папками, работа в интернете.
реферат [2,4 M], добавлен 01.02.2010Аудит как одно из средств защиты сети Windows, с помощью которого можно отслеживать действия пользователей и другие системные события в сети. Понятие и инструменты мониторинга. Использование консоли управления. Журналы и оповещения производительности.
презентация [2,2 M], добавлен 09.12.2013Windows Vista как клиентская операционная система семейства Microsoft Windows NT, этапы разработки. История создания Windows Vista. Основные особенности технологии ReadyBoost. User Account Control как система контроля учетных записей пользователей.
реферат [23,7 K], добавлен 13.10.2012Общая характеристика, история разработки и возможности Windows Vista - операционной системы, одной из ведущих продуктов на мировом рынке. Описание аппаратных требований и процесса установки. Отличительные черты, преимущества и недостатки Windows Vista.
презентация [4,7 M], добавлен 24.05.2010Использование операционных систем Microsoft Windows. Разработка операционной системы Windows 1.0. Возможности и характеристика последующих версий. Выпуск пользовательских операционных систем компании, доработки и нововведения, версии Windows XP и Vista.
реферат [23,3 K], добавлен 10.01.2012Windows как посредник пользователя и операционной системы, облегчая процесс общения между ними, история становления и развития ее первых версий. Функциональные особенности и отличия Windows 95/98/ME и Windows NT/2000/XP/Vista/7, их архитектурные решения.
презентация [12,7 K], добавлен 23.10.2013Характеристика операционной системы. История развития Windows. Сравнительная характеристика версий Windows. Элементы и инструменты Windows XP. Прикладные программы в Windows XP. Работа настольных и портативных компьютеров под управлением Windows.
доклад [19,1 K], добавлен 16.10.2011История создания. Windows 9x/NT. Операционная система Microsoft Windows. Преимущества и недостатки Windows. Некоторые клавиатурные комбинации Windows 9x и NT. Windows XP Professional. Наиболее совершенная защита.
реферат [19,3 K], добавлен 18.07.2004Основные выпуски (редакции) операционных систем Windows Vista и Windows Seven, их недостатки и преимущества. История создания, совместимость приложений с операционными системами. Новшества, которые принесла в мир компьютерных технологий каждая из систем.
реферат [66,3 K], добавлен 17.02.2011Windows Vista как последняя разработка корпорации Microsoft, ее содержание и структура, отличительные особенности и оценка возможностей. История создания данной операционной системы, ее выпуски и формы. Понятие и необходимость гаджетов на сегодня.
презентация [2,2 M], добавлен 13.12.2011Операционная система Windows NT, её особенности. Windows 95 как первая полноценная графическая операционная система корпорации Microsoft. Основные преимущества Windows XP перед другими системами. Варианты Windows Vista для различных сегментов рынка.
реферат [26,9 K], добавлен 12.07.2011Программа операционной системы. Перемещение и копирование объектов. Окна Windows, операционное меню, настройка свойств папки, вызов справки Windows. Работа с дисками, папками и файлами, с приложениями и документами. Стандартные программы Windows.
контрольная работа [21,9 K], добавлен 29.01.2011Архитектурная организация ЭВМ основных классов и типов. Классификация компьютеров по поколениям. Операционные системы: Windows 95, Windows XP и Windows Vista. Защита от компьютерных вирусов: сканирование, эвристический анализ, антивирусные мониторы.
контрольная работа [122,9 K], добавлен 08.04.2009Применение персональных компьютеров различных классов. Работа со встроенными программами Windows. Характеристика распространенных операционных систем (Windows 3.Х, 9Х, NT, 2000, XP, Windows7, Vista). Виды антивирусных программ и защита данных от вирусов.
контрольная работа [32,3 K], добавлен 23.01.2011Vista: понятие, методика проектирования. Зараженность персональных компьютеров с различными версиями операционных систем Windows. Оснастка "Брандмауэр Windows в режиме повышенной безопасности". Режим работы IE 7.0, возможности, безопасные соединения.
лекция [2,3 M], добавлен 20.12.2013Изучение процесса создания новой версии Windows Vista. Исследование особенностей установки и интерфейса операционной системы. Характеристика требований к аппаратному обеспечению компьютера. Анализ основных средств навигации и работы в Windows Vista.
реферат [33,6 K], добавлен 25.11.2014Прикладные программы и утилиты. Простейшие функции операционной системы. История разработки корпорацией Microsoft Corporation графической операционной оболочки Windows. Версия семейства сетевых ОС Windows NT (Millennium Edition, 2000, XP, Vista, Seven)
презентация [965,2 K], добавлен 12.10.2013Семейство ОС Windows 2000. Windows 2000 Server. Windows 2000 Advanced Server. Windows 2000 Datacenter Server. ОС Windows Server 2003. Организация сети на основе Windows 2000. Службы каталогов, DHCP, DNS, WINS. Конфигурирование сервера.
курсовая работа [307,1 K], добавлен 06.10.2006