Что необходимо для установки и администрирования аудита
Что необходимо для установки и администрирования аудита
Заметка о том, как провести аудит событий безопасности в операционной системе. Изучив эту заметку, вы ознакомитесь с подсистемой безопасности на примере Windows 10. После чего вы сможете самостоятельно проводить аудит событий безопасности операционных систем Windows.
Политика аудита
Политика аудита безопасности операционной системы предназначена для определения категорий сообщений о событиях безопасности. Выбранные категории сохраняются в соответствующих журналах безопасности. Для настройки политики используется приложение локальная политика безопасности.
Для запуска введите его название в строке поиска.
В политике аудита находится набор параметров безопасности по категориям. В свойствах выбранной категории можно влачить фиксацию в журнале определенного события.
События входа и выхода
При анализе журнала вы сможете посмотреть пытались ли злоумышленники зайти в операционную систему. Если да, тогда, сколько было попыток и были ли успешные попытки.
Проверим, как это работает. Я включу оба типа событий.
Учет ведется для каждой учетной записи, в том числе при попытке войти на рабочую станцию, которая находится в контроллере домена.
Я ввел несколько раз неправильный пароль, пытаясь зайти под одной учетной записью, а затем зашел под своей учетной записью.
Для просмотра событий нужно открыть приложение просмотр событий.
Затем выбрать пункт меню журналы Windows –> Безопасность. В журнале будут отображены неудачные и удачные попытки входа в систему.
Кликнув на событие, вы можете просмотреть его свойства и подробности.
Существуют следующие типы входов операционную систему Windows.
| Тип | Название | Описание |
| 0 | Системный (System) | Используется только учетной записью System, например при запуске системы. |
| 2 | Интерактивный (Interactive) | Локальный вход пользователя на компьютер. |
| 3 | Сетевой (Network) | Пользователь вошёл на данный компьютер через сеть. |
| 4 | Пакетный (Batch) | Пакетный тип входа используется пакетными серверами |
| 5 | Служба (Service) | Служба запущена Service Control Manager. |
| 7 | Разблокирование (Unlock) | Эта рабочая станция разблокирована |
| 8 | Сетевой ввод пароля (NetworkCleartext) | Пользователь вошёл на данный компьютер через сеть. Пароль пользователя передан в нехэшированной форме. |
| 9 | Новые полномочия (NewCredentials) | Посетитель клонировал свой текущий маркер и указал новые учётные записи для исходящих соединений |
| 10 | Удаленный интерактив (RemoteInteractive) | Пользователь выполнил удалённый вход на этот компьютер, используя службу терминалов или удаленный рабочий стол. |
| 11 | Кешированный интерактив (CachedInteractive) | Пользователь вошёл на этот компьютер с сетевыми учётными данными, которые хранились локально на компьютере. |
| 12 | Кешированный удаленный интерактив (CachedRemoteInteractive) | Метод используется для внутреннего аудита, аналогичен типу 11. |
События администрирования
Вернемся к приложению локальная политика безопасности. Рассмотрим аудит управления учетными записями.
Данный аудит фиксирует события, которые связаны с управлением учетными записями. Фиксируются изменения в учетных записях. Если вы добавите новую учетную запись пользователя, или удалите существующую, то в журнале будет запись о том кто (имя учетной записи) когда и какое действие с учетной записью (создал, удалил, изменил) произвел.
Для примера я включил оба типа событий.
Затем я изменил тип учетной записи – сделал пользователя администратором.
В журнале безопасности появилась соответствующая запись.
Если присмотреться, можно увидеть несколько записей. Это связано с тем, что когда я назначил пользователя администратором, то он стал членом групп, в которые входит администратор. На каждую группу создалась соответствующая запись.
Аудит изменения политики
Данный параметр фиксирует события связанные с изменением политик аудита. Разберемся на примере. Я включил оба типа событий.
После чего я добавил пользователя Local use в свойства прав архивация файлов и каталогов.
Теперь в журнале безопасности мы видим соответствующую запись об изменении прав пользователя.
Попробуйте выполнить какие-либо действия с политиками и отследить их в журнале безопасности операционной системы.
Аудит использования привилегий
Аудит использования привилегий фиксирует события связанные с применением пользователем назначенных ему привилегий.
Например, у пользователя есть привилегия на изменение системного времени. Включите тип события успех в аудите.
Измените системное время.
В журнале безопасности вы увидите соответствующую запись о том, что системное время изменено.
Аудит событий операционной системы
Для аудита событий происходящих с операционной системой (например, отключение элементов безопасности системы) предназначен параметр аудит системных событий.
Я включу аудит событий с типом успех. Затем очищу журнал аудита событий.
После этого действия журнал будет содержать одну запись – журнал аудита был очищен. В записи содержится имя пользователя, который выполнил очистку журнала.
Аудит доступа пользователя к объектам
Этот аудит фиксирует события, которые связаны с доступом к файлам, папкам, реестру, оборудованию и так далее. При этом можно настроить аудит на различные типы доступа к папкам и файлам, например чтение, изменение, печать.
Я включу аудит двух типов событий.
Этот вид аудита в операционной системе Windows доступен только для файловой системы NTFS. При этом аудит доступен, если включить его в самом объекте.
Я установил тип успех на чтение и выполнение этого файла.
После применения аудита я открыл и прочитал файл. Об этом появилась соответствующая запись в журнале безопасности.
Управление журналом аудита
Если вы войдете в операционную систему под учетной записью обычного пользователя, то вы не сможете просмотреть журнал событий безопасности.
Что бы выдать права для работы с журналом пользователю необходимо войти под учетной записью администратора в локальную политику безопасности и добавить пользователя в список учетных записей «Управление аудитом и журналом безопасности».
При необходимости администратор может настроить вид журнала безопасности для определенного пользователя. Делается это с помощью меню фильтр текущего журнала.
На этом короткое руководство по аудиту событий безопасности в операционной системе Windows закончено.
Если у вас возникли вопросы – задавайте их в комментариях к данной заметке.
Обучаю HTML, CSS, PHP. Создаю и продвигаю сайты, скрипты и программы. Занимаюсь информационной безопасностью. Рассмотрю различные виды сотрудничества.
Sysadminium
База знаний системного администратора
Аудит безопасности
В статье рассмотрим то, как мы можем проводить аудит безопасности системы Windows. Узнаем как настроить и смотреть логи связанные с аудитом.
Привилегии связанные с аудитом
С аудитом доступа связаны две привилегии:
Настройка политики аудита
Настройка политики аудита осуществляется из оснастки “Локальная политика безопасности” (secpol.msc).
Схема работы аудита
LSASS отправляет сообщения SRM, чтобы проинформировать его о политике аудита в ходе инициализации системы, а потом при изменениях политики. В свою очередь LSASS получает события аудита от SRM, добавляет дополнительную информацию и отправляет их регистратору событий (Event Logger).
Записи аудита передаются от SRM к подсистеме безопасности LSASS одним из двух способов:
Аудит доступа к объекту
Аудит доступа к объекту по умолчанию выключен, как и другие политики аудита. Чтобы понаблюдать за тем, как работает аудит доступа к объекту, выполните следующие действия. В проводнике перейдите к файлу, к которому у вас есть доступ и откройте свойства этого файла, затем перейдите на вкладку “Безопасность“:
Там нажмите кнопку “Дополнительно” и перейдите на вкладку “Аудит“.
Затем нажмите кнопки “Продолжить” и “Добавить” и в открывшимся окне нажмите на ссылку “Выберите субъект“:
В открывшимся окне впишите логин своего пользователя и нажмите кнопку “Проверить имя“. Если ввели логин верно, то в списке пользователей отобразиться имя вашего пользователя:
Теперь нажмите на кнопку “ОК“, и выставьте все флажки в области “Особые разрешения” и ещё раз нажмите на кнопку “ОК“:
Затем нажмите ещё два раза на кнопку “ОК“, чтобы закрыть дополнительные параметры безопасности и свойства файла.
Дальше запустите оснастку secpol.msc и перейдите в “Локальные политики“. Там откройте “Аудит доступа к объектам” и поставьте флажок “Успех“, затем нажмите “ОК“:
Итак, политику аудита мы включили и на файле аудит настроили. Теперь откройте файл, запишите в него что нибудь и закройте сохранив изменения. Затем откройте журнал “eventvwr.exe” и перейдите в “Журналы Windows / Безопасность“:
Найдите событие с кодом 4656 — это и есть доступ к вашему файлу:
В событии вы увидите:
Глобальная политика аудита
Настраивать для каждого файла аудит безопасности не всегда удобно. Иногда нужно включить аудит безопасности для всех файлов или для всех разделов реестра разом. Делается это через командную строку.
Чтобы посмотреть краткую информацию о командах для настройки и запроса политики глобального аудита выполните:
Чтобы посмотреть глобальные списки SACL для файловой системы и для реестра выполните такие команды:
Для установки аудита всех файлов с доступом на запись (FW) выполните:
В примере выше вместо имени пользователя можно ввести группу.
Чтобы выключить глобальный аудит, включенный предыдущей командой, выполните:
Конфигурация расширенной политики аудита
В оснастке “Локальная политика безопасности” можно настроить конфигурацию расширенной политики аудита:
В этой конфигурации настройка политики аудита выполняется более тонко. Например, включение “Аудита доступа к объектам” рассматриваемое выше включало аудит для разных объектов. А тут можно выбрать тип объектов:
А “Аудит доступа к глобальным объектам” включает или отключает глобальные SACL, которые мы включали ранее из командной строки:
При включении “Аудита доступа к глобальным объектам” этот параметр нужно будет настроить, указав пользователей для аудита и тип доступа, в общем то что мы делали в командной строке выше:
Настройка аудита файловых серверов: подробная инструкция и шпаргалка (.pdf)
Продолжаем публиковать шпаргалки по настройке аудита различных систем, в прошлый раз мы говорили об AD habrahabr.ru/company/netwrix/blog/140569, сегодня обсудим файловые серверы. Надо сказать, что чаще всего мы выполняем именно настройки аудита файловых серверов – в ходе пилотных инсталляций у заказчиков. Ничего сложного в этой задаче нет, всего лишь три простых шага:
Настройка аудита на файловых ресурсах
List Folder / Read Data;
Create Files / Write Data;
Create Folders / Append Data;
Write Attributes;
Write Extended Attributes;
Delete Subfolders and File;
Delete;
Change Permissions;
Take Ownership.
Настройка общей политики аудита
Для того, чтобы контролировать изменения на файловом сервере, вам необходимо настроить политику аудита. Перед настройкой политики убедитесь, что ваша учетная запись входит в группу Администраторов или у вас есть права на управление аудитом и журналами событий в оснастке Групповых политик.
Настройка детальной политики аудита
Настройка журналов событий
Для того, чтобы эффективно контролировать изменения, необходимо выполнить настройку журналов событий, а именно — установить максимальный размер журналов. Если размер окажется недостаточным, то события могут перезаписываться перед тем, как попадут в базу данных, которую использует ваше приложение, контролирующее изменения.
Напоследок, хотели бы предложить вам скрипт, который мы сами используем при настройке аудита на файловых серверах. Скрипт выполняет настройку аудита на всех шарах у каждого из компьютеров в заданном OU. Таким образом, не требуется включать настройки на каждом файловом ресурсе вручную.
Перед запуском скрипта нужно отредактировать строчку 19 — вписать вместо «your_ou_name» и «your_domain» необходимые значения. Скрипт необходимо выполнять от имени учетной записи, имеющей права администратора домена.
Скачать шпаргалку(.pdf) по настройке аудита файловых серверов
АУДИТ РЕСУРСОВ И СОБЫТИЙ СИСТЕМЫ ЗАЩИТЫ
Информация о работе
Помогла работа? Поделись ссылкой
Есть ненужная работа?
Добавь её на сайт, помоги студентам и школьникам выполнять работы самостоятельно
Информация о документе
Документ предоставляется как есть, мы не несем ответственности, за правильность представленной в нём информации. Используя информацию для подготовки своей работы необходимо помнить, что текст работы может быть устаревшим, работа может не пройти проверку на заимствования.
Если Вы являетесь автором текста представленного на данной странице и не хотите чтобы он был размешён на нашем сайте напишите об этом перейдя по ссылке: «Правообладателям»
Можно ли скачать документ с работой
Да, скачать документ можно бесплатно, без регистрации перейдя по ссылке:
ЛАБОРАТОРНАЯ РАБОТА № 5
АУДИТ РЕСУРСОВ И СОБЫТИЙ СИСТЕМЫ ЗАЩИТЫ
1 Цель работы: является получение навыков по созданию политики аудита и управлению аудитом ресурсов и событий защищенной операционной системы Windows XP.
2 Общие положения
2.1. Понятие и свойства аудита ресурсов и событий
Аудит – одна из функций групповой политики Windows XP Professional. Подсистема аудита (auditing) – это инструмент, предназначенный для поддержания безопасности в сети и позволяющий отслеживать действия пользователей, а также действия операционной системы Windows XP Professional, называемые событиями (events). Средствами аудита можно задать режим, при котором Windows XP Professional регистрирует события в журнале безопасности (security.log). В нем хранятся записи об успешных и неудачных попытках входа в систему и о таких событиях, как создание, открытие и закрытие файлов или других объектов. Запись аудита в журнале безопасности содержит данные о:
• пользователях, выполнивших операцию;
• успешном или неуспешном выполнении операции, кроме того, указывается время, когда произошло данное событие.
Планирование политики аудита
Понятие о политике аудита
Политика аудита (audit policy) задает типы событий системы безопасности, которые Windows XP Professional регистрирует в журнале безопасности каждого компьютера. Журнал безопасности позволяет отслеживать заданные события.
Система Windows XP Professional регистрирует событие в журнале безопасности того компьютера, на котором событие происходит. Так, каждый раз, когда кто-нибудь пытается войти в систему и попытка входа оказывается неудачной, Windows XP Professional регистрирует событие в журнале безопасности данного компьютера.
Можно настроить политику аудита для данного компьютера на выполнение следующих операций:
• выявление успешных или неудачных действий, например попыток входа пользователей в систему или отдельного пользователя прочитать указанный файл, изменения учетной записи пользователя или принадлежности к группе, изменение параметров безопасности;
• исключение или минимизация риска неавторизованного использования ресурсов.
Для просмотра событий, зарегистрированных системой Window-XP Professional в журнале безопасности, используется утилита. Просмотр событий (Event Viewer). Можно также сохранять файлы журнала в архиве для выяснения закономерностей за указанный период времени – например, чтобы определить частоту использования принтеров или файлов или выявление попыток неавторизованного использования ресурсов.
Определение событий, подлежащих регистрации
При планировании политики аудита нужно определить, какие события следует регистрировать и на каких компьютерах надо установить аудит. По умолчанию аудит отключен.
Можно регистрировать следующие типы событий:
• попытки доступа к файлам и папкам;
• вход в систему и выход из нее;
• выключение компьютера с Windows XP Professional;
• запуск компьютера с Windows XP Professional;
• изменения учетных записей пользователей и групп;
• попытки изменения объектов Active Directory (только если компьютер с Windows XP Professional является частью домена).
После того как типы регистрируемых событий заданы, нужно определить, регистрировать ли успешные действия, неудавшиеся попытки или оба вида событий.
Отслеживание успешных действий дает информацию о том, как часто система Windows XP Professional или пользователи обращаются к конкретным файлам, принтерам или другим объектам; эта информация пригодится для планирования ресурсов.
Регистрация неудачных попыток позволяет выявить слабые места в защите системы. Так, если зафиксировано несколько неудачных попыток входа в систему под определенным именем пользователя, особенно в нерабочее время, можно предположить, что неавторизованный пользователь пытается «взломать» систему. Кроме того, при выборе политики аудита руководствуйтесь правилами:
• Определите, нужно ли отслеживать закономерности загрузки системы. Если да, то предусмотрите сохранение журналов событий в архиве. Это позволит контролировать распределение загрузки по времени и заранее планировать увеличение ресурсов системы.
• Часто просматривайте журналы безопасности. Обязательно установите расписание и регулярно просматривайте журналы безопасности, так как выполнение аудита само по себе не предупреждает о слабых местах в защите системы.
• Задайте информативную и работоспособную политику аудита. Всегда регистрируйте попытки доступа к жизненно важным и конфиденциальным данным. Регистрируйте только те события, которые дают существенную информацию. Это снижает потребление ресурсов компьютера до минимума и упрощает поиск нужной информации. Регистрация большого числа событий может привести к чрезмерной трате системных ресурсов Windows XP Professional.
Реализация политики аудита
Аудит – мощный инструмент для отслеживания событий, происходящих на компьютерах в вашем офисе. Прежде чем применять аудит, следует продумать требования к нему и установить политику аудита. Далее можно выполнять аудит файлов, папок и принтеров.
На компьютерах с Windows XP Professional политики аудита устанавливаются для каждого компьютера в отдельности. Для установки и администрирования аудита необходимо:
• иметь право пользователя Управление аудитом и журналом безопасности (Manage Auditing And Security Log) на том компьютере, на котором планируется установить политику аудита или просмотреть журнал безопасности. По умолчанию в Windows XP Professional такие права имеет группа Администраторы (Administrators);
• разместить файлы и папки, аудит которых планируется, на томах с файловой системой NTFS.
Настройка аудита выполняется в два этапа.
1. Задание политики аудита. Политика аудита разрешает аудит объектов, но не инициирует аудит заданных объектов.
2. Разрешения аудита заданных ресурсов. Для файлов, папок, принтеров и объектов Active Directory назначаются конкретные события, подлежащие регистрации. После этого Windows XP Professional начинает отслеживать заданные события и регистрировать их в журнале.
Установка политики аудита
На первом этапе установки политики аудита в Windows XP Professional необходимо выбрать типы событий, подлежащих регистрации. Для каждого регистрируемого события в параметрах указывается, какие попытки следует отслеживать – успешные или неудачные. Политика аудита на локальном компьютере устанавливается средствами оснастки Групповая политика, которую можно запустить, используя Консоль управления ММС (Microsoft Management Console) и добавив в консоль оснастку Групповая политика (Group Policy). В таблице 2.1 перечислены типы событий, регистрируемые в Windows XP Professional.
Таблица 2.1 – Типы событий, регистрируемых Windows XP Professional
Событие
Описание
Вход в систему под заданной учетной записью
Контроллер домена получил запрос на проверку учетной записи пользователя (применяется только в тех случаях, когда компьютер с Windows XP Professional входит в домен Microsoft Windows 2000)
Управление учетными записями
Администратор создал, изменил или удалил учетную запись пользователя или группу. Некоторая учетная запись была переименована, отключена или включена, или для нее был назначен или изменен пароль
Доступ к службе каталогов
Пользователь получил доступ к объекту Active Directory. Для регистрации событий этого типа нужно сконфигурировать аудит для определенных объектов Active Directory (Active Directory можно применять, только если компьютер с Windows XP Professional входит в домен Microsoft Windows 2000)
Пользователь локально вошел в систему или вышел из нее, или подключился к компьютеру через сеть (или отключился от него)
Пользователь получил доступ к файлу, папке или принтеру. Определенные файлы, папки или принтеры должны быть настроены для аудита. В этом случае регистрируется доступ пользователей к файлам, папкам и принтерам
Изменение системной политики
Изменены пользовательские параметры безопасности, права пользователя или политика аудита
Пользователь применил права, например изменил системное время (в этом случае не подразумеваются права, связанные с регистрацией в системе или с выходом из нее)
Программа выполнила действие. Эта информация важна главным образом для программистов, которым нужно детально проследить выполнение программы
Пользователь перезапустил или выключил компьютер, или произошло событие, повлиявшее на безопасность Windows XP Professional или на журнал безопасности. Например, журнал аудита переполнился и Windows XP Professional начинает игнорировать поступающие сообщения о событиях
После настройки параметров политики аудита имейте в виду, что изменения в политике аудита компьютера вступают в силу только после перезагрузки.
Аудит доступа к файлам и папкам
Если требуется выявить слабые места в защите корпоративной сети, можно установить аудит файлов и папок, расположенных на разделах NTFS. Для аудита доступа пользователей к файлам и папкам прежде всего следует настроить политику аудита на регистрацию доступа к объектам, в том числе файлов и папок. При настройке политики аудита на регистрацию доступа к объектам включается аудит конкретных файлов и папок. При этом также указывается, какие виды доступа, пользователи и группы подлежат аудиту.
В таблице 2.2 перечислены действия пользователей, вызывающие соответствующие события, что поможет определить, в каких случаях следует включать аудит этих событий.
Таблица 2.2 – События для файлов и папок, вызываемые действиями пользователей
Событие
Действие пользователя, вызвавшее событие
Переход в папку/Выполнение файла
(Traverse Folder/Execute File)
Запуск программы или получение доступа к папке при смене текущей папки
Получение списка файлов/Чтение данных
(List Folder/Read Data)
Просмотр содержимого файла или папки
Просмотр атрибутов файла или папки
Чтение расширенных атрибутов
(Read Extended Attributes)
Просмотр атрибутов файла или папки
Создание файлов/Запись данных
(Create Files/Write Data)
Изменение содержимого файла или создание новых файлов в папке
Создание папок/Добавление данных
(Create Folders/Append Data)
Создание папок внутри папок
Изменение атрибутов файла или папки
Запись расширенных атрибутов
(Write Extended Attributes)
Изменение атрибутов файла или папки
Удаление вложенных папок и файлов
(Delete Subfolders And Files)
Удаление файла или папки внутри папки
Удаление файла или папки
Просмотр прав владельца файла на файл или папку
Изменение прав доступа к файлу или папке
Изменить право владельца на файл или папку
Аудит доступа к принтерам
При необходимости отслеживать использование конкретных принтеров включите аудит доступа к принтерам. Чтобы включить аудит доступа к принтерам, в политике аудита настройте аудит доступа к объектам, что включает принтеры.
В таблице 2.3 перечислены события, аудит которых возможен для принтеров, и соответствующие этим событиям действия пользователей.
Таблица 2.3 – События для принтеров, вызываемые действиями пользователей
Событие
Действие пользователя, вызвавшее событие
Изменение параметров принтера, приостановка печати, разрешение совместного использования принтера, удаление принтера из системы
Изменение параметров заданий; приостановка или продолжение печати, изменение порядкового номера в очереди или удаление документов; разрешение совместного использования принтера; изменение параметров принтера
Просмотр прав доступа к принтеру
Изменение прав доступа к принтеру
Смена владельца принтера
2.2. Возможности управления журналом безопасности
Использование утилиты Просмотр событий (Event Viewer)
Утилита Просмотр событий (Event Viewer) применяется для решения различных задач администрирования, в том числе для просмотра журналов аудита, созданных в результате установки политики аудита и обновляемых при возникновении заданных событий. Утилиту Просмотр событий (Event Viewer) также используют для просмотра содержимого файлов журнала безопасности и поиска конкретных событий в файлах журнала.
Утилита Просмотр событий (Event Viewer) необходима для просмотра информации, содержащейся в журналах (logs) Windows XP Professional. По умолчанию эта утилита позволяет просматривать три журнала (таблица 2.4).
Таблица 2.4 – Журналы Windows XP Professional
Журнал
Описание
Хранит сообщения об ошибках, предупреждения или информацию, генерируемые приложениями, например СУБД или программой электронной почты. События, регистрируемые в журнале, задаются разработчиками соответствующих программ
Содержит информацию об успешных или неудачных попытках выполнения операций, аудит которых включен. Эти события регистрируются Windows XP Professional в соответствии с политикой аудита
Хранит сообщения об ошибках, предупреждения и данные, генерируемые Windows XP Professional. События, регистрируемые в журнале, задаются в Windows XP Professional
Примечание Если установлены дополнительные службы, могут быть добавлены и соответствующие журналы событий.
Просмотр журнала безопасности
В журнале безопасности (security log) хранится информация о событиях, которые отслеживаются политикой аудита, например неудачные и успешные попытки регистрации в системе.
Windows XP Professional регистрирует события в журнале безопасности того компьютера, на котором событие произошло. Эти события можно просматривать с любого компьютера при наличии прав администратора на компьютере, на котором произошло событие. Чтобы просмотреть журнал безопасности удаленного компьютера, откройте консоль ММС и выберите просмотр событий удаленного компьютера.
При первом запуске утилиты Просмотр событий (Event Viewer) автоматически отображаются все события, зарегистрированные в выбранном журнале. Чтобы показать нужные события, можно использовать команду Фильтр (Filter). Кроме того, для поиска конкретных событий применяют команду Найти (Find).
Чтобы выполнить отбор или поиск событий, запустите утилиту Просмотр событий (Event Viewer), затем в меню Вид (View) щелкните пункт Фильтр(Filter) или Найти (Find). Параметры в окнах фильтра и поиска практически не отличаются.
В таблице 2.5 перечислены параметры вкладки Фильтр (Filter), используемые для отбора нужных событий, и команды Найти (Find), применяемые для поиска нужных событий.
Управление журналами аудита
Сравнивая данные журналов, записанные в разное время, можно выявлять закономерности в работе Windows XP Professional. Их анализ позволяет определять загруженность ресурсов и планировать их расширение. Кроме того, в журналах фиксируются попытки неавторизованного использования ресурсов. Windows XP Professional позволяет изменять размер файлов журнала и задавать действия системы при переполнении журнала.
Таблица 2.5 – Параметры для фильтрации и поиска событий
Параметр
Описание
Типы событий (Event Types)
Типы событий для просмотра
Программа или драйвер компонента, вызвавший событие
Тип события, например попытка входа, выхода или системное событие
Код события (Event ID)
Идентификационный номер события. Он упрощает сотрудникам службы технической поддержки контроль событий
Имя учетной записи пользователя
«С» и «До» (From and To)
Интервал времени, за который вы хотите просмотреть события [только на вкладке Фильтр (Filter)]
Восстановить значения по умолчанию (Restore Defaults)
Отменяет все изменения на этой вкладке и восстанавливает значения по умолчанию
Текстовый фрагмент в описании события (только в диалоговом окне Найти (Find)
Направление, в котором программа поиска будет просматривать журнал (вверх или вниз; только в диалоговом окне Найти (Find)
Найти далее (Find Next)
Программа поиска находит и отображает следующую запись, удовлетворяющую условиям поиска
Параметры каждого журнала аудита можно настраивать в отдельности. Чтобы изменить параметры журнала, выберите его название в окне утилиты Просмотр событий (Event Viewer), а затем в меню Действие (Action) щелкните пунктСвойства (Properties). В диалоговом окне Свойства (Properties) для каждого типа журнала аудита настраиваются следующие параметры:
• предельный размер каждого журнала, который может изменяться от 64 кбайт до 4194240 кбайт (4 Гбайт). По умолчанию размер журнала составляет 512 кбайт;
• действия Windows XP Professional при достижении файлом журнала предельного размера. Чтобы настроить эти действия, выберите один из вариантов, перечисленных в таблице 2.6.
Архивация журналов
Архивация журналов безопасности позволяет вести учет событий, связанных с безопасностью. На многих предприятиях принято сохранять архивированные журналы в течение некоторого времени, чтобы иметь возможность просмотреть информацию по безопасности за требуемый период.
Чтобы сохранить, очистить или просмотреть архивированный журнал, выберите нужный журнал в окне утилиты Просмотр событий (Event Viewer) и выполните одно из действий, перечисленных в таблице 2.7.
Таблица 2.6 – Варианты обработки заполненных файлов журнала аудита
Параметр
Описание
Удалять старые события по необходимости (Overwrite Events As Needed)
Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Однако при этом не требуется обслуживания
Удалять события, произошедшие более, чем V дней назад (Overwrite Events Older Than X Days)
Если установлен этот параметр, можно потерять информацию при переполнении журнала до того, как его сохранят. Будет утрачена только та информация, которая поступила более V дней назад. При применении этого параметра необходимо указать число дней (по умолчанию 7)
He удалять события (Do Not Overwrite Events)
Если установлен этот параметр, нужно очищать журнал вручную. При заполнении журнала Windows XP Professional прекращает регистрацию событий, сохраняя уже имеющиеся записи журнала безопасности
Таблица 2.7 – Действия для архивации, очистки или просмотра файла журнала
Действие
Выполните
Сохранить журнал в архиве
Щелкните Сохранить файл журнала как (Save Log File As), затем введите имя файла
Для очистки журнала щелкните Стереть все события (Clear All Events). При этом Windows XP Professional генерирует запись в журнале безопасности о том, что журнал очищен
Просмотреть архивированный журнал
Щелкните Новый вид журнала (New Log View); укажите вид выбранного журнала
3. КОНТРОЛЬНЫЕ ВОПРОСЫ
1 Какие три журнала Windows XP Professional можно просматривать средствами утилиты просмотра событий? Для чего предназначен каждый из них?
2 Как просмотреть журнал безопасности удаленного компьютера?
3 Какие два способа поиска конкретных событий есть в утилите просмотра событий? Что позволяет делать каждая из команд?
4 Размер любого из журналов может изменяться от_____кбайт до______Гбайт, а по умолчанию он равен________кбайт.
5 Какие типы событий необходимо регистрировать?
4 ЛАБОРАТОРНОЕ ЗАДАНИЕ
4.1. Планирование и настройка политики аудита ресурсов и событий
Настройка политики аудита
1. Войдите в систему под любой учетной записью, входящей в группу Администраторы (Administrators).
2. Щелкните Пуск (Start), щелкните Выполнить (Run), в поле Открыть (Open) наберите mmc и щелкните ОК.
3. В окне Консоль 1 (Console 1), в меню Консоль (File), щелкните Добавить или удалить оснастку (Add/Remove Snap-In).
4. В окне Добавить или удалить оснастку (Add/Remove Snap-In) щелкните кнопкуДобавить (Add),
5. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) выберите в списке оснастку Групповая политика (Group Policy) и щелкните кнопку Добавить (Add).
6. Убедитесь, что в поле Объект групповой политики (Group Policy Object) окна Выбор объекта групповой политики (Select Group Policy Object) значится Локальный компьютер (Local Computer), затем щелкните кнопку Готово (Finish).
7. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) щелкните Закрыть (Close).
8. В окне Добавить/удалить оснастку (Add/Remove Snap-In) щелкните кнопку Закрыть (Close).
9. В дереве консоли дважды щелкните элемент Политика «Локальный компьютер» (Local Computer Policy).
10. Дважды щелкните элемент Конфигурация компьютера (Computer Configuration), затем дважды щелкните элемент Конфигурация Windows (Windows Settings).
11. Дважды щелкните элемент Параметры безопасности (Security Settings), затем дважды щелкните элементе Локальные политики (Local Policies).
12. Щелкните элемент Политика аудита (Audit Policy). В правой панели окна Политика «Локальный компьютер» (Local Computer Policy) отобразятся текущие параметры политики аудита как показано на рис. 4.1.
13. Чтобы настроить политику аудита, в списке укажите Аудит входа в систему (Audit Logon Events) и в меню Действие (Action) щелкните пункт Свойства (Properties), появится окно Свойства: аудит входа в систему (Audit Account Logon Events Properties), как показано на рис. 4.2. Или в правой части окна дважды щелкните каждый тип события и установите флажок Успех (Audit Successful Attempts) или Отказ (Audit Failed Attempts) согласно следующей таблице.