32410

Защита информации в Windows NT/2000/XP/2003. Аудит

Реферат

Информатика, кибернетика и программирование

Однако большинство событий записывается в три журнала событий: системный журнал содержит информацию о событиях относящихся к компонентам NTXP например сообщения о сбое драйвера или службы при загрузке; журнал безопасности события связанные с безопасностью; журнал приложений события записываемые приложениями. Какие события будут зафиксированы в этом журнале решают разработчики соответствующих приложений. По умолчанию системный журнал и журнал приложений могут просматривать все пользователи журнал безопасности только...

Русский

2013-09-04

23.15 KB

15 чел.

Защита информации в Windows NT/2000/XP/2003. Аудит.

  Аудит – это процесс, позволяющий фиксировать события, происходящие в ОС. Сообщения о критических событиях, таких как переполнение жесткого диска или сбой в питании компьютера, выдаются на экран дисплея. Однако большинство событий записывается в три журнала событий:

системный журнал содержит информацию о событиях, относящихся к компонентам NT-XP, например, сообщения о сбое драйвера или службы при загрузке;

журнал безопасности - события, связанные с безопасностью;

журнал приложений - события, записываемые приложениями. Какие события будут зафиксированы в этом журнале, решают разработчики соответствующих приложений.

  По умолчанию системный журнал и журнал приложений могут просматривать все пользователи, журнал безопасности – только администраторы. Пользователи с привилегией управления аудитом и журналом безопасности могут читать и очищать журнал безопасности (по умолчанию это только администраторы).

Журналы NT- XP находятся в папке winnt_root\system32\ config в трех файлах:

AppEvent.еvt (журнал приложений);

SecEvent.evt (журнал безопасности);

SysEvent.evt (системный журнал).

При запуске их открывает и блокирует ОС, и даже на дисках с файловой системой FAT получить доступ к файлам журналов, применяя стандартные средства, невозможно. Информация о событиях хранится на диске в бинарном виде. Журнал можно просмотреть в Windows 2000, XP с помощью программы просмотра событий из группы программ «Администрирование».

В журнал для событий записывается следующая информация:

• тип события;

• дата;

• время;

• источник, т.е. ПО, произведшее запись;

• категория;

• код события;

• имя пользователя, действия которого привели к возникновению события;

• имя компьютера, где произошло событие.

SACLSystem Access Control List )— список управления доступом к объектам Microsoft Windows, используемый для аудита доступа к объекту. По умолчанию, WINDOWS не отслеживает события доступа.

Каждая запись в SACL обрабатывается так:

• записи с типом не SystemAudit игнорируются;

• при отсутствии совпадений SID в записи с набором SID субъекта запись пропускается;

• маска требуемого доступа сравнивается с маской доступа в АСЕ, если ни один тип доступа, указанный в маске АСЕ, не требовался пользователем, запись пропускается, в против-ном случае проверяются биты SUCCESSFUL_ACCESS_ ACE_FLAG и FAILED_AС CESS_ACE_FLAG;

• если пользователь получил доступ, а бит SUCCESSFUL_ACCESS ACE_FLAG не установлен, или пользователю доступ был запрещен, а бит FAILED_ACCESS_ ACE_FLAG не установлен, запись пропускается;

• если запись прошла все проверки, монитор безопасности генерирует событие о доступе к объекту, которое должно быть помещено в журнал аудита.

По умолчанию, аудит безопасности не ведется. В Windows 2000, XP аудит включается администратором в оснастке «Локальные параметры безопасности» (рис. 6).

На контроллере домена правила аудита определяются для всех контроллеров в этом домене. На рабочей станции и сервере, не являющемся контроллером домена, правила аудита задаются индивидуально для каждого компьютера

Категории событий бывают:

  1.  Аудит входа в систему (Audit loon events) - Событие успешной регистрации пользователя в системе имеет номер (ID) 528. Событие с номером 538 означает завершение сеанса, начало которого зафиксировано событием 528.

  Событие номер 528 имеет несколько очень важных дополнительных параметров. Имя пользователя и домен определяют вошедшего в систему пользователя или то, чья учетная запись была при этом задействована. Любому активному сеансу работы пользователя с системой присваивается уникальный код входа. Именно он будет записан в событии завершения сеанса, что позволяет определить общее время работы пользователя при анализе событий 528 и 538 с одинаковым кодом входа. В случае нескольких одновременных сессий одного пользователя (например, когда вошедший интерактивно пользователь подключился к своему компьютеру еще и через сервер SMB) данный идентификатор позволяет однозначно определить, в рамках какой сессии совершено то или иное событие.

  1.  Аудит событий входа в систему (Audit account lo-gon events) - Появился с Windows 2000. Данная категория событий используется для отслеживания аутентификации пользователей на контроллерах доменов.
  2.  Аудит доступа к объектам - На дисках, отформатированных с файловой системой NTFS, можно проводить аудит доступа к отдельным файлам и папкам. Это позволяет отследить выполняемые действия и идентифицировать пользователей, ответственных за эти действия. Включение аудита доступа к объектам в политике аудита не приводит (в отличие от других категорий аудита) к автоматической регистрации событий, связанных с доступом к объектам. Администратору требуется сформировать SACL у объектов, к которым планируется осуществить аудит доступа.
  3.  Аудит использования привилегий - Если сотрудник успешно воспользовался своей привилегией, то в журнал безопасности в зависимости от типа привилегии записывается событие 577 (вызов привилегированной службы) или 578 (операции с привилегированным объектом).
  4.  Аудит управления учетными записями - Позволяет определить, какая учетная запись была изменена, добавлена или удалена и кем именно. Но информация, какое именно свойство пользователя или группы было изменено, не сохраняется. События этой категории аудита записываются на той системе, где хранится учетная запись. Так, при создании новой локальной учетной записи соответствующее событие записывается в журнал безопасности данного компьютера, а при изменении учетной записи пользователя домена – в журнал на контроллере домена.

  1.  Аудит доступа к службе каталогов - Данная категория аудита впервые появилась в Windows 2000 и применяется только на контроллере домена. Данная категория генерирует события с кодом 565. Она позволяет определить, какое свойство объекта AD изменено. В событии указывается тип, имя объекта. Для определения кем изменена запись, используется поля «Имя клиента», «Домен клиента», «Код входа клиента». В поле «Свойства» показывается, какое свойство изменено.
  2.  Аудит изменений политики

К данной категории относят следующие события:

- добавление привилегии к учетной записи пользователя (608);

- удаление привилегии от учетной записи пользователя (609);

- установление новых доверительных отношений (610);

- удаление доверительных отношений (611);

- изменение информации о доверенном домене (620);

- изменение политики аудита (612);

- изменение политики Kerberos (617);

- изменение политики восстановления файлов, зашифрованных с помощью EFS (618);

- изменение политики безопасности IP (615,616).

  1.  Аудит системных событий - В данную категорию входят следующие события:

- перезапуск операционной системы (512);

- завершение работы операционной системы (513);

- загрузка пакета проверки подлинности (514);

- регистрация процесса проверки подлинности пользователя при входе в систему (515);

- очистка журнала безопасности (517);

- загрузка пакета уведомления обо всех изменениях в учетных записях пользователя (518).

  1.  Аудит отслеживания процессов - Данная категория позволяет проследить за тем, какие именно программы были запущены на рабочей станции и какие программы выполнялись на сервере.

В этой категории можно выделить следующие основные события

• создание процесса – 592;

• завершение процесса – 593.


 

А также другие работы, которые могут Вас заинтересовать

29874. Характеристика федеральных налогов. порядок их исчисления и уплаты 44 KB
  характеристика федеральных налогов. порядок их исчисления и уплаты Законом Об основах налоговой системы в Российской Федерации а также в Налоговом кодексе глава 2 статья 12 устанавливаются следующие виды налогов и сборов: федеральные региональные и местные Федеральными налогами и сборами признаются налоги и сборы которые установлены НК Кодексом и обязательны к уплате на всей территории Российской Федерации. К федеральным налогам и сборам откосятся статье 13 НК РФ: 1 налог на добавленную стоимость; 2 акцизы; 3 налог на доходы...
29875. Виды и характеристика профессиональных участников фондового рынка 27.5 KB
  Виды и характеристика профессиональных участников фондового рынка. При этом вид товара ценные бумаги определяет структуру фондового рынка и компоненты этой структуры осуществляющие как собственно его функционирование так и управление его работой: состав участников рынка местоположение порядок функционирования правила регулирования и т. В целом структуру фондового рынка можно представить следующим образом: субъекты рынка; собственно рынок биржевой и внебиржевой фондовые рынки; органы государственного регулирования и надзора в...
29876. Государственные внебюджетные фонды: источники формирования доходов и направления использования средств 37 KB
  В России действуют следующие государственные внебюджетные фонды: Пенсионный фонд Российской Федерации Фонд социального страхования Российской Федерации Федеральный фонд обязательного медицинского страхования. Фонд социального страхования Российской Федерации ФСС РФ один из государственных внебюджетных фондов созданный для обеспечения обязательного социального страхования граждан России. Регулируется Бюджетным кодексом РФ и федеральным законом Об основах обязательного социального страхования. Федеральный фонд обязательного...
29877. Сущность, функции денег и их роль в системе экономических отношений 32 KB
  сущность функции денег и их роль в системе экономических отношений Деньги это средство выражающее ценности товарных ресурсов участвующих в данное время в хозяйственной жизни общества универсальное воплощение ценности в формах соответствующих данному уровню товарных отношений. В другом определении деньги это абсолютно ликвидное средство обмена которое обладает двумя свойствами: обменивается на любой другой товар; измеряет стоимость любого другого товара эта функция выражается в цене и в масштабах этих цен. Сущность денег...
29878. Краткосрочная финансовая политика на предприятии 45.12 KB
  Успешность работы предприятия в краткосрочном периоде в решающей степени зависит от качества разработанной им краткосрочной финансовой политики под которой понимается система мер направленных на обеспечение бесперебойного финансирования его текущей деятельности. Цели КФП: создание регулирование и контроль денежных потоков; обеспечение производства в рамках имеющихся производственных мощностей и основных фондов; обеспечение гибкости текущего финансирования; генерирование накапливание собственных источников финансирования. Основная задача...
29879. Сущность, формы и виды инфляции. Социально-экономические последствия инфляции 14.69 KB
  Инфля́ция повышение общего уровня цен на товары и услуги. В этом случае говорят что за прошедшее время покупательная способность денег снизилась деньги обесценились утратили часть своей реальной стоимости. Этому способствовал целый ряд факторов глобального порядка: быстрый рост товарного производства усложнение его структуры; системы цен и социальных трансфертов стали универсальными; изменилась практика ценообразования под влиянием монополистических предприятий резко снизилась сфера ценовой конкуренции. Повышение эффективности...
29880. Страховые резервы и пути повышения надежности их использования страховыми компаниями 12.61 KB
  Средства страховых резервов не подлежат изъятию в федеральный бюджет и бюджеты других уровней и используются исключительно для осуществления страховых выплат. Страховщик вправе инвестировать и иным образом размещать средства страховых резервов в порядке установленном нормативным правовым актом органа государственного страхового надзора. Размещение средств страховых резервов должно осуществляться на условия диверсификации возвратности прибыльности и ликвидности. Страховые резервы технические резервы по видам страхования не относящимся к...
29881. Сущность и практика деятельности негосударственных пенсионных фондов 13.8 KB
  Негосударственный пенсионный фонд НПФ особая организационноправовая форма некоммерческой организации социального обеспечения исключительными видами деятельности которой являются[1]: деятельность по негосударственному пенсионному обеспечению участников НПФ в соответствии с договорами негосударственного пенсионного обеспечения НПО; деятельность в качестве страховщика по обязательному пенсионному страхованию в соответствии с Законом Об обязательном пенсионном страховании в Российской Федерации[2] и договорами об обязательном пенсионном...
29882. Мировая, европейская, национальная валютные системы и их взаимодействие на современном этапе 34 KB
  Валютная система это форма орга низации и регулирования валютных отношений закрепленная национальным законодательством или межгосударственными соглашениями. Мировая валютная система это совокупность экономических отношений в мировой хозяйственной сфере связанных с функционированием валюты. Развитие мировой валютной системы Международная валютная система мировая валютная система мировая денежная система всех стран в рамках которой формируются и используются валютные ресурсы и осуществляется международный платежный оборот. Мировая...