Методы аудита системных процессов и событий в ОС Windows XP
Отображение и фиксация системных событий - необходимые процессы для определения злоумышленников или попыток поставить под угрозу данные операционной системы. Групповая политика - метод формирования политики аудита объектов в операционной системе.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | лабораторная работа |
Язык | русский |
Дата добавления | 05.04.2022 |
Размер файла | 21,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Методы аудита системных процессов и событий в ОС Windows XP
Задания для выполнения лабораторной работы
Изучите теоретический материал, касающийся вопросов аудита системных процессов и событий в ОС Windows XP.
Ознакомьтесь с возможностями оснастки Групповая политика в части, предназначенной для функций аудита.
Ознакомьтесь с основными возможностями оснастки Просмотр событий.
По результатам выполнения заданий 1-3 составьте отчет, в котором отразите эти результаты в виде соответствующих копий экрана.
На оценку «удовлетворительно» необходимо выполнить и продемонстрировать выполнение заданий 1-3 и ответить на 50 % контрольных вопросов (3 балла).
На оценку «хорошо» следует выполнить и продемонстрировать выполнение заданий 1-3 и ответить на все контрольные вопросы (4 балла).
На оценку «отлично» нужно выполнить все задания и ответить на все контрольные вопросы (5 баллов).
Описание работы
Краткие теоретические сведения
В широком смысле аудитом называется регистрация каких-либо действий, процессов или событий, предназначенная для обеспечения комплексной безопасности чего-либо. В частности, средства аудита в среде ОС Windows XP предназначены для отслеживания действий пользователей путем регистрации системных событий определенных типов в журнале безопасности сервера или рабочей станции. Кроме того, отображение и фиксация системных событий необходимы для определения злоумышленников или попыток поставить под угрозу данные операционной системы. Примером события, подлежащего аудиту, является неудачная попытка доступа к системе. Наиболее общими типами событий, подлежащих аудиту в ОС, являются:
- доступ к таким объектам, как файлы и папки;
- управление учетными записями пользователей и групп;
- вход пользователей в систему и выход из нее.
Чтобы обеспечить возможность аудита в среде ОС Windows XP, сперва необходимо выбрать политику аудита, указывающую категории событий аудита, связанных с безопасностью. При инсталлировании ОС все категории аудита по умолчанию выключены; включая их последовательно администратор может создать политику аудита, удовлетворяющую всем требованиям организации. К числу категорий событий, предназначенных для контроля, относятся:
- аудит событий входа в систему;
- аудит управления учетными записями;
- аудит доступа к службе каталогов;
- аудит входа в систему;
- аудит доступа к объектам;
- аудит изменения политики;
- аудит использования привилегий;
- аудит отслеживания процессов;
- аудит отслеживания системных событий.
В частности, если выбран аудит доступа к объектам как часть политики аудита, необходимо включить либо категорию аудита доступа к службе каталогов (для аудита объектов на контроллере домена), либо категорию аудита доступа к объектам (для аудита объектов на рядовой сервер или рабочую станцию). Основные события аудита и угрозы безопасности, отображаемые при помощи этого события, сведены в табл. 1.
Дополнительная информация по данной тематике доступна в соответствующих разделах справки ОС Windows XP (Пуск > Справка и поддержка).
Таблица 1. Основные события аудита в ОС Windows XP
№ п/п. |
Событие аудита |
Потенциальная угроза |
|
1. |
Аудит отказов входа/выхода |
Случайный взлом пароля |
|
2. |
Аудит успехов входа/выхода |
Вход с украденным паролем |
|
3. |
Аудит успехов использования привилегий, управления пользователями и группами, изменений политик безопасности, перезагрузки, выключения и системных событий |
Неправильное использование привилегий |
|
4. |
Аудит успехов и отказов событий доступа к файлам и объектам. Аудит успехов и отказов диспетчера файлов в доступе подозрительным пользователям или группам к важным файлам для чтения и записи |
Неправильный доступ к важным файлам |
|
5. |
Аудит успехов и отказов событий доступа к принтерам и объектам. Аудит успехов и отказов диспетчера печати в доступе подозрительным пользователям или группам к принтерам |
Неправильный доступ к принтерам |
|
6. |
Аудит успехов и отказов доступа для записи к программным файлам с расширениями .exe и .dll. Аудит успехов и отказов для отслеживания процессов в системе при запуске подозрительных программ |
Эпидемия вирусов |
Возможности оснастки Групповая политика в части, предназначенной для функций аудита
Формирование политики аудита объектов в системе осуществляется посредством оснастки Групповая политика, в частности, с ее помощью устанавливаются и настраиваются параметры политики аудита. Для ознакомления с возможностями оснастки Групповая политика выполните следующее.
Добавьте в созданную ранее учебную консоль MMC Диагноз Настройка системную оснастку Групповая политика.
В узле дерева консоли Политика "Локальный компьютер" щелкните манипулятором мышь по папке Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Политика аудита для настройки локальных политик аудита.
Настройте политики аудита. Для этого в области сведений дважды щелкните на политике аудита, для которой необходимо изменить параметры аудита и установите один или оба флажка («успех» или «отказ») для успешных или неуспешных системных событий, которые необходимо регистрировать. Повторите действия, указанные в текущем пункте секции, для других политик аудита в случае необходимости.
Настройте аудит файлов и папок. Для этого измените параметры успех или отказ категории событий Аудит доступа к объектам. Укажите файлы или папки для аудита, выполнив следующие действия:
- на вкладке Безопасность команды Свойства выбранного по своему усмотрению файла или папки нажмите кнопку Дополнительно,
- на вкладке Аудит нажмите кнопку Добавить,
- в диалоговом окне Выбор: пользователь, компьютер или группа выберите имя пользователя или группы, для действий которых требуется производить аудит файлов и папок, и нажмите кнопку OK для подтверждения выбора,
- в появившемся диалоговом окне Элемент аудита в группе Доступ установите флажки успех, отказ или оба эти флажка одновременно напротив действий, для которых требуется провести аудит,
- выберите из выпадающего меню Применить: опцию Для этой папки и ее подпапок (или любую другую опцию на Ваш выбор), а затем нажмите кнопку OK и Примерить для подтверждения ввода.
Если указанные выше действия выполнить не удалось по причине отсутствия вкладки Безопасность в Свойствах объекта, выполните следующее:
- в узле дерева консоли Политика "Локальный компьютер" щелкните манипулятором мышь по папке Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Проводник;
- в области сведений дважды щелкните на Удалить вкладку «Безопасность», измените системный параметр на Отключено на одноименной вкладке и подтвердите выбор, кликнув OK;
- выберите команду Панель управления в меню Пуск, откройте компонент Свойства папки на панели управления, дважды щелкнув по нему мышью, и на вкладке Вид в группе Дополнительные параметры > Файлы и папки снимите флажок Использовать простой общий доступ к файлам (рекомендуется).
Не закрывая консоль ММС, сохраните ее. При выполнении заданий данного раздела выполните следующее:
- перенесите последовательность выполняемых действий по каждому из пунктов в отчет (возможно приведение графических фрагментов, сделанных с экрана, в качестве демонстрационного материала),
Основные возможности оснастки Просмотр событий.
В предыдущем разделе был изучен вопрос организации и настройки аудита системных событий различных категорий, в частности, событий, связанных с обеспечением безопасности ОС. Однако, помимо указанных, в ОС Windows XP дополнительно имеются события других категорий, например, события, связанные с работой приложений и программ. Поскольку аудит предполагает регистрацию различного рода системных событий (табл. 2), имеющих место в операционной среде, их регистрация в ОС Windows XP осуществляется в журналах трех основных типов, описание которых представлено после таблицы. В журнале приложений содержатся данные, относящиеся к работе приложений. Записи этого журнала создаются самими приложениями. События, вносимые в журнал, определяются разработчиками соответствующих приложений.
Журнал безопасности содержит записи о таких событиях как успешные и безуспешные попытки доступа в ОС, а также о событиях, относящихся к использованию системных ресурсов. В частности, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности. Именно в этом журнале аккумулируются данные по системным событиям, аудит которых был настроен в предыдущем разделе. В журнале системы содержатся события системных компонентов ОС. Так, например, в журнале системы регистрируются сбои при загрузке драйвера или других программных компонентов в момент запуска системы. В дополнение к существующим ОС Windows XP имеет в своем распоряжении еще два журнала: службы каталогов и службы репликации файлов, запись событий в которые выполняется в случае, если компьютер настроен в качестве контроллера домена.
системный аудит операционный
Таблица 2. Типы системных событий в ОС Windows XP
№ п/п |
Тип события |
Описание |
|
1. |
Ошибка |
Возникает при серьезных трудностях, связанных с потерей данных или функциональности ОС (например, при сбое загрузки службы в момент ее запуска) |
|
2. |
Предупреждение |
Возникает при событии, которое в момент записи в журнал не было существенным, но может привести к ошибкам в будущем (например, если на диске осталось мало свободного места) |
|
3. |
Уведомление |
Возникает при событии, описывающее удачное завершение действия приложением, драйвером или службой (например, после успешной загрузки драйвера) |
|
4. |
Аудит успехов |
Возникает при событии, которое соответствует успешно завершенному действию, связанному с поддержкой безопасности ОС (например, в случае успешного входа пользователя в систему) |
|
5. |
Аудит отказов |
Возникает при событии, которое соответствует неудачно завершенному действию, связанному с поддержкой безопасности ОС (например, в случае неудачной попытки доступа пользователя к сетевому диску) |
В журнале службы каталогов содержатся события, заносимые службой каталогов ОС Windows XP. Например, проблемы соединения между сервером и общим каталогом записываются в этот журнал. Журнал службы репликации файлов содержит записи о системных событиях, внесенных службой репликации файлов ОС Windows XP. В этот журнал записываются неудачи при репликации файлов, а также события, которые происходят пока контроллеры домена обновляются данными об изменениях из общей папки Sysvol, где хранится серверная копия общих файлов, реплицируемых между всеми контроллерами домена. Кроме того, существует журнал DNS сервера, в который записываются сообщения об системных событиях, зарегистрированных службой DNS. В этот журнал записываются события, связанные с разрешением DNS-имен IP-адресам.
В ОС Windows XP за регистрацию системных событий в описанных выше журналах отвечает специальная служба, называемая службой журнала событий, которая загружается автоматически при старте системы. Эта служба контролирует ведение журналов и осуществляет внесение в них соответствующих записей системных событий в реальном масштабе времени. При этом любой пользователь может просматривать журналы приложений и системы, однако журналы безопасности доступны только системному администратору, который предварительно должен настроить параметры системных событий аудита (табл. 7), воспользовавшись компонентом Групповая политика.
В настоящем разделе изучаются основные возможности регистрации системных событий различных категорий посредством имеющегося в ОС Windows XP служебного инструмента - оснастки Просмотр событий. Для ознакомления с возможностями данной оснастки выполните следующее.
Добавьте в созданную ранее учебную консоль MMC Диагноз Настройка новую системную оснастку Просмотр событий.
В дереве консоли щелкните манипулятором мышь по оснастке Просмотр событий и обратите внимание на появившиеся три журнала и их текущие размеры в области сведений справа. Последовательно перебирая журналы приложений, безопасности и системы, отметьте в них наличие всех указанных выше типов системных событий (табл. 8). При этом обратите внимание на то, что такие типы событий, как аудиты отказов и успехов присущи только журналу безопасности, который был Вами настроен в предыдущем разделе. Остальные типы событий встречаются как в журнале приложений, так и в журнале системы.
Воспользовавшись меню Вид изучаемой оснастки, отфильтруйте:
- в журнале приложений событие Уведомление за прошедшее время,
- в журнале безопасность событие Аудит отказов за IV квартал,
- в журнале система событие Ошибка за последнюю неделю, с сортировкой по дате от старых к новым.
В окне журнала событий системы удалите столбцы Пользователь, Компьютер и Категория, оставив остальные.
Воспользовавшись системой поиска, найдите событие типа Предупреждение с кодом 1003 от источника DHCP в журнале событий системы.
Создайте собственный журнал событий, содержащий только сведения об ошибках приложений и программ. Установите максимальный размер этого журнала в 128 Кб и возможность затирания старых событий при необходимости. Сохраните созданный журнал в двоичном виде с расширением .evt.
Создайте инструмент для регистрации событий аудита любого компьютера рабочей группы или домена и осуществите просмотр системных событий другого узла локальной сети с его помощью.
Не закрывая консоль администрирования ММС, сохраните ее. При выполнении заданий данного раздела выполните следующее: перенесите последовательность выполняемых действий по каждому из пунктов в отчет (возможно приведение графических фрагментов, сделанных с экрана, в качестве демонстрационного материала).
Размещено на Allbest.ru
...Подобные документы
Способы восстановления операционной системы Windows, их достоинства и недостатки. Восстановление ОС при загрузке, при помощи Консоли Восстановления (Recovery Console), с помощью диска Windows XP и Acronis True Image. Проверка целостности системных файлов.
презентация [337,5 K], добавлен 20.06.2014Разграничение прав пользователя в операционной системе. Предварительная настройка операционной системы с последующей установкой драйверов для периферийных устройств и системных комплектующих. Классификация операционных систем и периферийных устройств.
реферат [2,1 M], добавлен 26.10.2022Методы и приемы работы в операционной системе Windows XP, часто используемой при работе с персональным компьютером. Средства по настройке и конфигурации операционной системы. Соответствие используемых аппаратных средств потребностям пользователя.
курсовая работа [4,7 M], добавлен 15.07.2009Правовые основы защиты информации на предприятии. Анализ среды пользователей. Автоматизированная система предприятия. Краткие сведения об операционной системе Windows XP. Классификация троянских программ. Способы защиты операционной системы Windows XP.
дипломная работа [187,3 K], добавлен 14.07.2013Использование номеров индексных дескрипторов для обозначения файлов в программах для системных администраторов в операционной системе UNIX. Описание индексного дескриптора в POSIX. Адрес индексного дескриптора в записи директории, относящейся к файлу.
контрольная работа [31,7 K], добавлен 18.06.2014Взаимодействие процессов и потоков в операционной системе, основные алгоритмы и механизмы синхронизации. Разработка школьного курса по изучению процессов в операционной системе Windows для 10-11 классов. Методические рекомендации по курсу для учителей.
дипломная работа [3,2 M], добавлен 29.06.2012Методика исследования и анализа средств аудита системы Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин. Анализ угрозы информационной безопасности. Алгоритм работы программного средства.
дипломная работа [2,9 M], добавлен 28.06.2011Знакомство с техническими характеристиками персонального компьютера. Установка операционной системы и драйверов Windows 7. Способы чистки Windows XP Professional SP3. Методы восстановления операционной системы. Выполнение установки Microsoft Office 2010.
отчет по практике [5,6 M], добавлен 22.09.2014Основы работы операционной системы Windows XP. Работа в текстовом процессоре Microsoft Word: ввода, редактирования и форматирования текста, автоматизации разработки документа, создания графических объектов, создания комплексного текстового документа.
курсовая работа [3,6 M], добавлен 25.04.2009Сущность основных аспектов эффективного функционирования в операционной системе Windows. Способ создания локальных сетей в операционной системе Windows XP, изучение их возможностей. Глобальная сеть Интернет в ОС Windows, структура и основные программы.
курсовая работа [352,8 K], добавлен 15.02.2009Знакомство с операционной системой Windows. Исследование её устройства, истории, возможностей, особенностей работы с ней для получения новых знаний. Описание наиболее использующихся и важных функций этой операционной системы, их практическое освоение.
контрольная работа [2,9 M], добавлен 14.12.2009Загрузка операционной системы Windows. Набор стандартных приложений, индикатор системных ресурсов и преобразование диска. Необходимость упаковщиков и функция "Архивация", таблица символов, графический редактор Paint и текстовый редактор WordPad.
контрольная работа [355,9 K], добавлен 18.04.2009Ведение журнала событий системы безопасности Windows. Аудит успехов и аудит отказов. Работа диспетчера задач, методы его запуска. Утилита System Safety Monitor 2.0.6.566 как один из способов обнаружения процессов, запущенных в результате взлома.
лабораторная работа [905,4 K], добавлен 19.10.2014История создания и развития операционной системы Microsoft Windows. Особенности каждой из ее версий. Новшества в интерфейсе, встроенных программах, системе управления и использования ОС, увеличение скорости выполнения приложений возможностями мультимедиа.
реферат [29,5 K], добавлен 30.11.2013Работа с объектами операционной системы Windows: основные понятия и горячие клавиши. Создание и редактирование файлов и папок. Скриншоты и графический редактор Paint. Редактирование простейших текстовых документов в Блокноте. Работа с калькулятором.
лабораторная работа [16,6 K], добавлен 30.11.2010Использование операционных систем Microsoft Windows. Разработка операционной системы Windows 1.0. Возможности и характеристика последующих версий. Выпуск пользовательских операционных систем компании, доработки и нововведения, версии Windows XP и Vista.
реферат [23,3 K], добавлен 10.01.2012Понятие системных ресурсов, конфликты, связанные с ресурсами IRQ и DMA. Использование портов ввода-вывода. Разновидности памяти и особенности ее распределения в рамках операционной системы. Назначение адресов памяти средствами Windows 9x/NT/2000.
презентация [45,9 K], добавлен 27.08.2013Прикладные программы и утилиты. Простейшие функции операционной системы. История разработки корпорацией Microsoft Corporation графической операционной оболочки Windows. Версия семейства сетевых ОС Windows NT (Millennium Edition, 2000, XP, Vista, Seven)
презентация [965,2 K], добавлен 12.10.2013Устройство и архитектуры системных плат персональных компьютеров. Назначения компонентов системных плат ПК стандартов AT, ATX и NLX). Основные признаки системных плат ПК стандартов AT, ATX, NLX. Определение стандарта и форм-фактора системных плат.
лабораторная работа [20,0 K], добавлен 04.06.2012Операционная система MS-DOS: история и характеристика. Обзор стандартных программ операционной системы Windows. Способы запуска программ. Служебные приложения Windows и их назначение: диспетчер задач, проверка, очистка, дефрагментация и архивация диска.
реферат [221,4 K], добавлен 06.01.2015