32410

Защита информации в Windows NT/2000/XP/2003. Аудит

Реферат

Информатика, кибернетика и программирование

Однако большинство событий записывается в три журнала событий: системный журнал содержит информацию о событиях относящихся к компонентам NTXP например сообщения о сбое драйвера или службы при загрузке; журнал безопасности события связанные с безопасностью; журнал приложений события записываемые приложениями. Какие события будут зафиксированы в этом журнале решают разработчики соответствующих приложений. По умолчанию системный журнал и журнал приложений могут просматривать все пользователи журнал безопасности – только...

Русский

2013-09-04

23.15 KB

15 чел.

Защита информации в Windows NT/2000/XP/2003. Аудит.

  Аудит – это процесс, позволяющий фиксировать события, происходящие в ОС. Сообщения о критических событиях, таких как переполнение жесткого диска или сбой в питании компьютера, выдаются на экран дисплея. Однако большинство событий записывается в три журнала событий:

системный журнал содержит информацию о событиях, относящихся к компонентам NT-XP, например, сообщения о сбое драйвера или службы при загрузке;

журнал безопасности - события, связанные с безопасностью;

журнал приложений - события, записываемые приложениями. Какие события будут зафиксированы в этом журнале, решают разработчики соответствующих приложений.

  По умолчанию системный журнал и журнал приложений могут просматривать все пользователи, журнал безопасности – только администраторы. Пользователи с привилегией управления аудитом и журналом безопасности могут читать и очищать журнал безопасности (по умолчанию это только администраторы).

Журналы NT- XP находятся в папке winnt_root\system32\ config в трех файлах:

AppEvent.еvt (журнал приложений);

SecEvent.evt (журнал безопасности);

SysEvent.evt (системный журнал).

При запуске их открывает и блокирует ОС, и даже на дисках с файловой системой FAT получить доступ к файлам журналов, применяя стандартные средства, невозможно. Информация о событиях хранится на диске в бинарном виде. Журнал можно просмотреть в Windows 2000, XP с помощью программы просмотра событий из группы программ «Администрирование».

В журнал для событий записывается следующая информация:

• тип события;

• дата;

• время;

• источник, т.е. ПО, произведшее запись;

• категория;

• код события;

• имя пользователя, действия которого привели к возникновению события;

• имя компьютера, где произошло событие.

SACLSystem Access Control List )— список управления доступом к объектам Microsoft Windows, используемый для аудита доступа к объекту. По умолчанию, WINDOWS не отслеживает события доступа.

Каждая запись в SACL обрабатывается так:

• записи с типом не SystemAudit игнорируются;

• при отсутствии совпадений SID в записи с набором SID субъекта запись пропускается;

• маска требуемого доступа сравнивается с маской доступа в АСЕ, если ни один тип доступа, указанный в маске АСЕ, не требовался пользователем, запись пропускается, в против-ном случае проверяются биты SUCCESSFUL_ACCESS_ ACE_FLAG и FAILED_AС CESS_ACE_FLAG;

• если пользователь получил доступ, а бит SUCCESSFUL_ACCESS ACE_FLAG не установлен, или пользователю доступ был запрещен, а бит FAILED_ACCESS_ ACE_FLAG не установлен, запись пропускается;

• если запись прошла все проверки, монитор безопасности генерирует событие о доступе к объекту, которое должно быть помещено в журнал аудита.

По умолчанию, аудит безопасности не ведется. В Windows 2000, XP аудит включается администратором в оснастке «Локальные параметры безопасности» (рис. 6).

На контроллере домена правила аудита определяются для всех контроллеров в этом домене. На рабочей станции и сервере, не являющемся контроллером домена, правила аудита задаются индивидуально для каждого компьютера

Категории событий бывают:

  1.  Аудит входа в систему (Audit loon events) - Событие успешной регистрации пользователя в системе имеет номер (ID) 528. Событие с номером 538 означает завершение сеанса, начало которого зафиксировано событием 528.

  Событие номер 528 имеет несколько очень важных дополнительных параметров. Имя пользователя и домен определяют вошедшего в систему пользователя или то, чья учетная запись была при этом задействована. Любому активному сеансу работы пользователя с системой присваивается уникальный код входа. Именно он будет записан в событии завершения сеанса, что позволяет определить общее время работы пользователя при анализе событий 528 и 538 с одинаковым кодом входа. В случае нескольких одновременных сессий одного пользователя (например, когда вошедший интерактивно пользователь подключился к своему компьютеру еще и через сервер SMB) данный идентификатор позволяет однозначно определить, в рамках какой сессии совершено то или иное событие.

  1.  Аудит событий входа в систему (Audit account lo-gon events) - Появился с Windows 2000. Данная категория событий используется для отслеживания аутентификации пользователей на контроллерах доменов.
  2.  Аудит доступа к объектам - На дисках, отформатированных с файловой системой NTFS, можно проводить аудит доступа к отдельным файлам и папкам. Это позволяет отследить выполняемые действия и идентифицировать пользователей, ответственных за эти действия. Включение аудита доступа к объектам в политике аудита не приводит (в отличие от других категорий аудита) к автоматической регистрации событий, связанных с доступом к объектам. Администратору требуется сформировать SACL у объектов, к которым планируется осуществить аудит доступа.
  3.  Аудит использования привилегий - Если сотрудник успешно воспользовался своей привилегией, то в журнал безопасности в зависимости от типа привилегии записывается событие 577 (вызов привилегированной службы) или 578 (операции с привилегированным объектом).
  4.  Аудит управления учетными записями - Позволяет определить, какая учетная запись была изменена, добавлена или удалена и кем именно. Но информация, какое именно свойство пользователя или группы было изменено, не сохраняется. События этой категории аудита записываются на той системе, где хранится учетная запись. Так, при создании новой локальной учетной записи соответствующее событие записывается в журнал безопасности данного компьютера, а при изменении учетной записи пользователя домена – в журнал на контроллере домена.

  1.  Аудит доступа к службе каталогов - Данная категория аудита впервые появилась в Windows 2000 и применяется только на контроллере домена. Данная категория генерирует события с кодом 565. Она позволяет определить, какое свойство объекта AD изменено. В событии указывается тип, имя объекта. Для определения кем изменена запись, используется поля «Имя клиента», «Домен клиента», «Код входа клиента». В поле «Свойства» показывается, какое свойство изменено.
  2.  Аудит изменений политики

К данной категории относят следующие события:

- добавление привилегии к учетной записи пользователя (608);

- удаление привилегии от учетной записи пользователя (609);

- установление новых доверительных отношений (610);

- удаление доверительных отношений (611);

- изменение информации о доверенном домене (620);

- изменение политики аудита (612);

- изменение политики Kerberos (617);

- изменение политики восстановления файлов, зашифрованных с помощью EFS (618);

- изменение политики безопасности IP (615,616).

  1.  Аудит системных событий - В данную категорию входят следующие события:

- перезапуск операционной системы (512);

- завершение работы операционной системы (513);

- загрузка пакета проверки подлинности (514);

- регистрация процесса проверки подлинности пользователя при входе в систему (515);

- очистка журнала безопасности (517);

- загрузка пакета уведомления обо всех изменениях в учетных записях пользователя (518).

  1.  Аудит отслеживания процессов - Данная категория позволяет проследить за тем, какие именно программы были запущены на рабочей станции и какие программы выполнялись на сервере.

В этой категории можно выделить следующие основные события

• создание процесса – 592;

• завершение процесса – 593.


 

А также другие работы, которые могут Вас заинтересовать

41772. Работа с текстовым редактором Word 616.47 KB
  Работа со сносками и примечаниями. Работа со стилями и автоматическим оглавлением. Работа с автотекстом и автозаменой.
41773. Изучение основного закона вращательного движения твердого тела на маятнике Обербека 352.26 KB
  ПРИБОРЫ И ОБОРУДОВАНИЕ: маятник Обербека секундомер штангенциркуль линейка набор грузов. УСТАНОВКА: Маятник Обербека представляет собой крестовинувращающуюся вокруг горизонтальной оси.
41774. Разработка специализированной системы визуализации и анализа городской среды 2.89 MB
  Цель работы – анализ методов информационной визуализации и визуального анализа и применение их для разработки прототипа системы поддержки конечного пользователя. В процессе работы проводился анализ возможностей географических информационных систем как средств визуализации и анализа данных, исследовались различные методы представления географических и семантических данных.
41775. Логічні функції двох змінних 191.22 KB
  Операції f: BnB називаються функціями алгебри логіки або логічні функції булевими БФ. Усяка логічна функція fx1x2. Функція називається кон’юнкцією логічним множенням й ; її позначення: або . Функція .
41776. Исследование полевого транзистора 125.43 KB
  Снять входные характеристики транзистора для двух значений выходного напряжения: Uс=2В; Uкэ= 10В. Снять выходные характеристики транзистора. Построения и расчёты По данным таблицы 1 построить входные характеристики транзистора По данным таблицы 2 построить выходные характеристики транзистора Определить: Крутизну транзистора.
41779. Команды MS-DOS. Среда операционной системы MS-DOS 250.79 KB
  Название команды Синтаксис команды Создание файла с консоли copy con имя файла Удаление файла del имя файла Переименование файла ren имя файла 1 имя файла 2 Редактирование файла edit имя файла Переход на диск имя диска Переход в каталог cd путь Сортировка по имени файлов каталога Ds Сортировка по расширению файлов каталога Ne Создание каталога md имя каталога Удаление каталога rd имя каталога Очистка экрана Cls Вывод содержимого файла на экран type имя файла Копирование файла copy путь 1 что копируется путь 2 куда копируется Поиск файла...
41780. ОПРЕДЕЛЕНИЕ ИЗОЭЛЕКТРИЧЕСКОЙ ТОЧКИ РАСТВОРОВ АМФОТЕРНЫХ ПОЛИЭЛЕКТРОЛИТОВ 118.87 KB
  Измерьте рН всех приготовленных растворов результаты внести в табл. Приготовление растворов 1 2 3 4 5 6 7 8 9 Объем 3 раствора желатина мл 20 20 20 20 20 20 20 20 20 Объем 005 М HCl мл 20 14 8 2 Объем 001 М NОН мл 2 8 14 20 Объем дистиллированной воды мл 6 12 18 20 18 12 6 4. Определите оптическую плотность растворов при помощи ФЭК56 со светофильтром № 4 синий и кюветой 30 мм.