32410

Защита информации в Windows NT/2000/XP/2003. Аудит

Реферат

Информатика, кибернетика и программирование

Однако большинство событий записывается в три журнала событий: системный журнал содержит информацию о событиях относящихся к компонентам NTXP например сообщения о сбое драйвера или службы при загрузке; журнал безопасности события связанные с безопасностью; журнал приложений события записываемые приложениями. Какие события будут зафиксированы в этом журнале решают разработчики соответствующих приложений. По умолчанию системный журнал и журнал приложений могут просматривать все пользователи журнал безопасности – только...

Русский

2013-09-04

23.15 KB

15 чел.

Защита информации в Windows NT/2000/XP/2003. Аудит.

  Аудит – это процесс, позволяющий фиксировать события, происходящие в ОС. Сообщения о критических событиях, таких как переполнение жесткого диска или сбой в питании компьютера, выдаются на экран дисплея. Однако большинство событий записывается в три журнала событий:

системный журнал содержит информацию о событиях, относящихся к компонентам NT-XP, например, сообщения о сбое драйвера или службы при загрузке;

журнал безопасности - события, связанные с безопасностью;

журнал приложений - события, записываемые приложениями. Какие события будут зафиксированы в этом журнале, решают разработчики соответствующих приложений.

  По умолчанию системный журнал и журнал приложений могут просматривать все пользователи, журнал безопасности – только администраторы. Пользователи с привилегией управления аудитом и журналом безопасности могут читать и очищать журнал безопасности (по умолчанию это только администраторы).

Журналы NT- XP находятся в папке winnt_root\system32\ config в трех файлах:

AppEvent.еvt (журнал приложений);

SecEvent.evt (журнал безопасности);

SysEvent.evt (системный журнал).

При запуске их открывает и блокирует ОС, и даже на дисках с файловой системой FAT получить доступ к файлам журналов, применяя стандартные средства, невозможно. Информация о событиях хранится на диске в бинарном виде. Журнал можно просмотреть в Windows 2000, XP с помощью программы просмотра событий из группы программ «Администрирование».

В журнал для событий записывается следующая информация:

• тип события;

• дата;

• время;

• источник, т.е. ПО, произведшее запись;

• категория;

• код события;

• имя пользователя, действия которого привели к возникновению события;

• имя компьютера, где произошло событие.

SACLSystem Access Control List )— список управления доступом к объектам Microsoft Windows, используемый для аудита доступа к объекту. По умолчанию, WINDOWS не отслеживает события доступа.

Каждая запись в SACL обрабатывается так:

• записи с типом не SystemAudit игнорируются;

• при отсутствии совпадений SID в записи с набором SID субъекта запись пропускается;

• маска требуемого доступа сравнивается с маской доступа в АСЕ, если ни один тип доступа, указанный в маске АСЕ, не требовался пользователем, запись пропускается, в против-ном случае проверяются биты SUCCESSFUL_ACCESS_ ACE_FLAG и FAILED_AС CESS_ACE_FLAG;

• если пользователь получил доступ, а бит SUCCESSFUL_ACCESS ACE_FLAG не установлен, или пользователю доступ был запрещен, а бит FAILED_ACCESS_ ACE_FLAG не установлен, запись пропускается;

• если запись прошла все проверки, монитор безопасности генерирует событие о доступе к объекту, которое должно быть помещено в журнал аудита.

По умолчанию, аудит безопасности не ведется. В Windows 2000, XP аудит включается администратором в оснастке «Локальные параметры безопасности» (рис. 6).

На контроллере домена правила аудита определяются для всех контроллеров в этом домене. На рабочей станции и сервере, не являющемся контроллером домена, правила аудита задаются индивидуально для каждого компьютера

Категории событий бывают:

  1.  Аудит входа в систему (Audit loon events) - Событие успешной регистрации пользователя в системе имеет номер (ID) 528. Событие с номером 538 означает завершение сеанса, начало которого зафиксировано событием 528.

  Событие номер 528 имеет несколько очень важных дополнительных параметров. Имя пользователя и домен определяют вошедшего в систему пользователя или то, чья учетная запись была при этом задействована. Любому активному сеансу работы пользователя с системой присваивается уникальный код входа. Именно он будет записан в событии завершения сеанса, что позволяет определить общее время работы пользователя при анализе событий 528 и 538 с одинаковым кодом входа. В случае нескольких одновременных сессий одного пользователя (например, когда вошедший интерактивно пользователь подключился к своему компьютеру еще и через сервер SMB) данный идентификатор позволяет однозначно определить, в рамках какой сессии совершено то или иное событие.

  1.  Аудит событий входа в систему (Audit account lo-gon events) - Появился с Windows 2000. Данная категория событий используется для отслеживания аутентификации пользователей на контроллерах доменов.
  2.  Аудит доступа к объектам - На дисках, отформатированных с файловой системой NTFS, можно проводить аудит доступа к отдельным файлам и папкам. Это позволяет отследить выполняемые действия и идентифицировать пользователей, ответственных за эти действия. Включение аудита доступа к объектам в политике аудита не приводит (в отличие от других категорий аудита) к автоматической регистрации событий, связанных с доступом к объектам. Администратору требуется сформировать SACL у объектов, к которым планируется осуществить аудит доступа.
  3.  Аудит использования привилегий - Если сотрудник успешно воспользовался своей привилегией, то в журнал безопасности в зависимости от типа привилегии записывается событие 577 (вызов привилегированной службы) или 578 (операции с привилегированным объектом).
  4.  Аудит управления учетными записями - Позволяет определить, какая учетная запись была изменена, добавлена или удалена и кем именно. Но информация, какое именно свойство пользователя или группы было изменено, не сохраняется. События этой категории аудита записываются на той системе, где хранится учетная запись. Так, при создании новой локальной учетной записи соответствующее событие записывается в журнал безопасности данного компьютера, а при изменении учетной записи пользователя домена – в журнал на контроллере домена.

  1.  Аудит доступа к службе каталогов - Данная категория аудита впервые появилась в Windows 2000 и применяется только на контроллере домена. Данная категория генерирует события с кодом 565. Она позволяет определить, какое свойство объекта AD изменено. В событии указывается тип, имя объекта. Для определения кем изменена запись, используется поля «Имя клиента», «Домен клиента», «Код входа клиента». В поле «Свойства» показывается, какое свойство изменено.
  2.  Аудит изменений политики

К данной категории относят следующие события:

- добавление привилегии к учетной записи пользователя (608);

- удаление привилегии от учетной записи пользователя (609);

- установление новых доверительных отношений (610);

- удаление доверительных отношений (611);

- изменение информации о доверенном домене (620);

- изменение политики аудита (612);

- изменение политики Kerberos (617);

- изменение политики восстановления файлов, зашифрованных с помощью EFS (618);

- изменение политики безопасности IP (615,616).

  1.  Аудит системных событий - В данную категорию входят следующие события:

- перезапуск операционной системы (512);

- завершение работы операционной системы (513);

- загрузка пакета проверки подлинности (514);

- регистрация процесса проверки подлинности пользователя при входе в систему (515);

- очистка журнала безопасности (517);

- загрузка пакета уведомления обо всех изменениях в учетных записях пользователя (518).

  1.  Аудит отслеживания процессов - Данная категория позволяет проследить за тем, какие именно программы были запущены на рабочей станции и какие программы выполнялись на сервере.

В этой категории можно выделить следующие основные события

• создание процесса – 592;

• завершение процесса – 593.


 

А также другие работы, которые могут Вас заинтересовать

5936. Аналіз виховного процесу в 5-В класі 29.5 KB
  Кількість дітей у класі: 22 особи Стосунки між учнями класу загалом дружніі доброзичливі. Але протягом року були випадки суперечок і непорозумінь між учнями, зокрема проблеми у спілкуванні: Шимко-Сирашний, Крючковська-Страшний, а також Барвет, яка м...
5937. Анализ воспитательной работы МБОУ «Устьвашская средняя общеобразовательная школа» за 2011/12 учебный год 102 KB
  Анализ воспитательной работы МБОУ Устьвашская средняя общеобразовательная школа за 2011/12 учебный год. Цель воспитательной работы в 2001/12 учебном году: формирование первичных представлений о базовых национальных российских ценностях (начал...
5938. Анализ воспитательной работы с учащимися 9 а класса 66.5 KB
  Анализ воспитательной работы с учащимися 9 а класса Классный руководитель: Характеристика класса. В классе 25 учеников, из них 11 мальчиков и 14 девочек. По национальному составу - 20 русских, 5 бурят. Количество учащи...
5939. Анализ воспитательной работы за первое полугодие классного руководителя 10 А класса 40.5 KB
  Анализ воспитательной работы за первое полугодие классного руководителя 10 А класса 1. Анализ эффективности целеполагания и планирования воспитательного процесса в классе в 2011-2012 учебном году. Воспитательные задачи в текущем учебном году следующ...
5940. Системы снабжения природным газом 78.66 KB
  Природный газ это заслуженно один из самых эффективных источников энергии. При сравнении с другими видами топлива и сырья у него есть множество преимуществ. Во-первых, его стоимость. Стоимость добычи ниже, а производительность труда намного...
5941. Педагогическая практика по воспитательной работе 172 KB
  Педагогическая практика по воспитательной работе Информационно-методические материалы для начинающих методистов и студентов i - v курсов Отход от авторитарной педагогики и гуманизация всего учебно-воспитательного процесса предъявляют все более ...
5943. Архитектура Киевской Руси 59.5 KB
  I. Архитектура Киевской Руси Н. М. Карамзин в Истории государства Российского, описывая истоки возникновения искусства Древней Руси, рассказывает, как Владимир, увидев, подобно бабке своей, заблуждение язычества, стал искать истины в разных верах...
5944. Рапсовое масло как альтернативное топливо для дизеля 39.56 KB
  Двигатели внутреннего сгорания (ДВС), на сегодняшний день, являются основными потребителями топлив нефтяного происхождения. По причине постоянного увеличения численности ДВС и снижения количества вновь открываемых месторождений нефти обостр...