32410

Защита информации в Windows NT/2000/XP/2003. Аудит

Реферат

Информатика, кибернетика и программирование

Однако большинство событий записывается в три журнала событий: системный журнал содержит информацию о событиях относящихся к компонентам NTXP например сообщения о сбое драйвера или службы при загрузке; журнал безопасности события связанные с безопасностью; журнал приложений события записываемые приложениями. Какие события будут зафиксированы в этом журнале решают разработчики соответствующих приложений. По умолчанию системный журнал и журнал приложений могут просматривать все пользователи журнал безопасности только...

Русский

2013-09-04

23.15 KB

15 чел.

Защита информации в Windows NT/2000/XP/2003. Аудит.

  Аудит – это процесс, позволяющий фиксировать события, происходящие в ОС. Сообщения о критических событиях, таких как переполнение жесткого диска или сбой в питании компьютера, выдаются на экран дисплея. Однако большинство событий записывается в три журнала событий:

системный журнал содержит информацию о событиях, относящихся к компонентам NT-XP, например, сообщения о сбое драйвера или службы при загрузке;

журнал безопасности - события, связанные с безопасностью;

журнал приложений - события, записываемые приложениями. Какие события будут зафиксированы в этом журнале, решают разработчики соответствующих приложений.

  По умолчанию системный журнал и журнал приложений могут просматривать все пользователи, журнал безопасности – только администраторы. Пользователи с привилегией управления аудитом и журналом безопасности могут читать и очищать журнал безопасности (по умолчанию это только администраторы).

Журналы NT- XP находятся в папке winnt_root\system32\ config в трех файлах:

AppEvent.еvt (журнал приложений);

SecEvent.evt (журнал безопасности);

SysEvent.evt (системный журнал).

При запуске их открывает и блокирует ОС, и даже на дисках с файловой системой FAT получить доступ к файлам журналов, применяя стандартные средства, невозможно. Информация о событиях хранится на диске в бинарном виде. Журнал можно просмотреть в Windows 2000, XP с помощью программы просмотра событий из группы программ «Администрирование».

В журнал для событий записывается следующая информация:

• тип события;

• дата;

• время;

• источник, т.е. ПО, произведшее запись;

• категория;

• код события;

• имя пользователя, действия которого привели к возникновению события;

• имя компьютера, где произошло событие.

SACLSystem Access Control List )— список управления доступом к объектам Microsoft Windows, используемый для аудита доступа к объекту. По умолчанию, WINDOWS не отслеживает события доступа.

Каждая запись в SACL обрабатывается так:

• записи с типом не SystemAudit игнорируются;

• при отсутствии совпадений SID в записи с набором SID субъекта запись пропускается;

• маска требуемого доступа сравнивается с маской доступа в АСЕ, если ни один тип доступа, указанный в маске АСЕ, не требовался пользователем, запись пропускается, в против-ном случае проверяются биты SUCCESSFUL_ACCESS_ ACE_FLAG и FAILED_AС CESS_ACE_FLAG;

• если пользователь получил доступ, а бит SUCCESSFUL_ACCESS ACE_FLAG не установлен, или пользователю доступ был запрещен, а бит FAILED_ACCESS_ ACE_FLAG не установлен, запись пропускается;

• если запись прошла все проверки, монитор безопасности генерирует событие о доступе к объекту, которое должно быть помещено в журнал аудита.

По умолчанию, аудит безопасности не ведется. В Windows 2000, XP аудит включается администратором в оснастке «Локальные параметры безопасности» (рис. 6).

На контроллере домена правила аудита определяются для всех контроллеров в этом домене. На рабочей станции и сервере, не являющемся контроллером домена, правила аудита задаются индивидуально для каждого компьютера

Категории событий бывают:

  1.  Аудит входа в систему (Audit loon events) - Событие успешной регистрации пользователя в системе имеет номер (ID) 528. Событие с номером 538 означает завершение сеанса, начало которого зафиксировано событием 528.

  Событие номер 528 имеет несколько очень важных дополнительных параметров. Имя пользователя и домен определяют вошедшего в систему пользователя или то, чья учетная запись была при этом задействована. Любому активному сеансу работы пользователя с системой присваивается уникальный код входа. Именно он будет записан в событии завершения сеанса, что позволяет определить общее время работы пользователя при анализе событий 528 и 538 с одинаковым кодом входа. В случае нескольких одновременных сессий одного пользователя (например, когда вошедший интерактивно пользователь подключился к своему компьютеру еще и через сервер SMB) данный идентификатор позволяет однозначно определить, в рамках какой сессии совершено то или иное событие.

  1.  Аудит событий входа в систему (Audit account lo-gon events) - Появился с Windows 2000. Данная категория событий используется для отслеживания аутентификации пользователей на контроллерах доменов.
  2.  Аудит доступа к объектам - На дисках, отформатированных с файловой системой NTFS, можно проводить аудит доступа к отдельным файлам и папкам. Это позволяет отследить выполняемые действия и идентифицировать пользователей, ответственных за эти действия. Включение аудита доступа к объектам в политике аудита не приводит (в отличие от других категорий аудита) к автоматической регистрации событий, связанных с доступом к объектам. Администратору требуется сформировать SACL у объектов, к которым планируется осуществить аудит доступа.
  3.  Аудит использования привилегий - Если сотрудник успешно воспользовался своей привилегией, то в журнал безопасности в зависимости от типа привилегии записывается событие 577 (вызов привилегированной службы) или 578 (операции с привилегированным объектом).
  4.  Аудит управления учетными записями - Позволяет определить, какая учетная запись была изменена, добавлена или удалена и кем именно. Но информация, какое именно свойство пользователя или группы было изменено, не сохраняется. События этой категории аудита записываются на той системе, где хранится учетная запись. Так, при создании новой локальной учетной записи соответствующее событие записывается в журнал безопасности данного компьютера, а при изменении учетной записи пользователя домена – в журнал на контроллере домена.

  1.  Аудит доступа к службе каталогов - Данная категория аудита впервые появилась в Windows 2000 и применяется только на контроллере домена. Данная категория генерирует события с кодом 565. Она позволяет определить, какое свойство объекта AD изменено. В событии указывается тип, имя объекта. Для определения кем изменена запись, используется поля «Имя клиента», «Домен клиента», «Код входа клиента». В поле «Свойства» показывается, какое свойство изменено.
  2.  Аудит изменений политики

К данной категории относят следующие события:

- добавление привилегии к учетной записи пользователя (608);

- удаление привилегии от учетной записи пользователя (609);

- установление новых доверительных отношений (610);

- удаление доверительных отношений (611);

- изменение информации о доверенном домене (620);

- изменение политики аудита (612);

- изменение политики Kerberos (617);

- изменение политики восстановления файлов, зашифрованных с помощью EFS (618);

- изменение политики безопасности IP (615,616).

  1.  Аудит системных событий - В данную категорию входят следующие события:

- перезапуск операционной системы (512);

- завершение работы операционной системы (513);

- загрузка пакета проверки подлинности (514);

- регистрация процесса проверки подлинности пользователя при входе в систему (515);

- очистка журнала безопасности (517);

- загрузка пакета уведомления обо всех изменениях в учетных записях пользователя (518).

  1.  Аудит отслеживания процессов - Данная категория позволяет проследить за тем, какие именно программы были запущены на рабочей станции и какие программы выполнялись на сервере.

В этой категории можно выделить следующие основные события

• создание процесса – 592;

• завершение процесса – 593.


 

А также другие работы, которые могут Вас заинтересовать

45447. Моделирование систем РВ Проблема моделирования сетей при случайном доступе. Применение модели реального времени. Модель реального Мира 123.5 KB
  Моделирование СРВ необходимо для того чтобы оценить разрабатываемую систему по времени функционирования и передачи данных. Σt=tреакции человека tнажатия на педаль тормоза tпередачи для обработки сигнала уз. 1 tпередачи сигнала от уз. механизма t1 время передачи информации от основного контроллера к сетевому t2 время передачи данных сетевым контроллером на шину t3 разброс передачи сообщения в сети возникает в следствии того что используется один сетевой канал t4 время приема данных с шины на сетевой контроллер t5 время...
45448. Алгоритм оценки систем реального времени. Оптимизация системы реального времени 92 KB
  Оптимизация системы реального времени. Алгоритм оценки позволяет определить работоспособность системы в условиях модельного объекта. Работоспособность определяется по характеристикам устойчивости системы в заданных режимах функционирования. Основные характеристики для распределенной системы: скорость передачи информации и дополнительные данные включая накладные расходы рассматриваемого протокола.
45449. Операционные системы реального времени. Применение. Особенности. Архитектуры операционных систем реального времени. Особенности функционирования ОС РВ. Достоинства и недостатки операционных систем реального времени 399.5 KB
  Каждая из архитектур позволяет обеспечивать функционирование задач в режиме реального времени.23: задачи интерфейс прикладных программ И. Достоинства: простота создания простота управления задачами. Недостатки: отсутствие гибкости в системе и возможности управления задачами в процессе функционирования систем; при зацикливании одного из блоков система блокируется и перестает функционировать.
45450. Синхронизация в системах реального времени. Принципы разделения ресурсов в СРВ. «Смертельный захват» «Гонки» «Инверсия приоритетов». Технология разработки собственной ОС РВ 69.5 KB
  Логическая последовательность исполнения Обеспечение доступа к общим ресурсам Обеспечение синхронизации с внешними событиями Обеспечение синхронизации по времени Связность задач. Обеспечение доступа к общим ресурсам. Реализация синхронизации необходима для обеспечения доступа к тем ресурсам которые являются разделяемыми ресурсами в системе т. Возникают коллизии связанные с получением доступа.
45451. Виды операционных систем реального времени. QNX. OS-9. VxWorks. Операционные системы реального времени для Windows. IA-Spox, RTX, Falcon, Hyperkernel 190.5 KB
  Операционные системы реального времени для Windows. ОСРВ по Windows Windows CE система ориентирована на небольшие контроллеры и включает большую часть функций ядра стандартной ОС для поддержки средств являющихся зарегистрированной маркой Microsoft. ОС РВ Стандартная ОС с поддержкой общих функций Поддержка расширений служащих для выполнения задач РВ Расширения ISPOX В расширении ОС Windows для реального времени. Данное расширение разработано для системы Windows95 98.
45452. Средства создания операторского интерфейса автоматизированных систем (SCADA-приложения). Применение. Особенности. Возможности и средства, присущие SCADA-пакетам. Состав SCADA. Виды SCADA. TraceMode. Citect. InTouch. iFix. Wizcon GeniDAQ. WinCC. MasterSCA 103 KB
  Под SCADA – приложением подразумевается любое ПО, которое получает данные с внешних устройств, формирует управляющие команды, сохраняет информацию на внешних носителях и формирует графическое приложение системы. Любое SCADA – приложение должно иметь набор инструментальных средств, позволяющих создавать уже в разработанных интерфейсах типовые модули подключения новых объектов и создание однотипных интерфейсов оператора для типовых автоматизированных систем.
45453. Базы данных РВ. Структура. Применение. Особенности. Особенности Industrial SQL Server. Функциональные возможности сервера базы данных. Интеграция с другими компонентами комплекса. Возможность организации клиент-серверной системы 454 KB
  Эта БД позволяет обеспечить доступ к БД при помощи языка SQL и обеспечить хранение информации в заданном пользователем виде. Для системы РВ не являющейся СЖРВ реляционная БД является оптимальной но для СЖРВ требуется обеспечение следующих условий: высокоскоростной сбор информации 1015 параметров за 1 секунду возможность хранения больших объемов информации обеспечение доступа к информации с различных рабочих станций по сетевому протоколу Для решения проблемы были разработаны БД БД реального времени: Industril SQLserver WizSQL...
45454. Комплексные программные средства разработки приложений РВ. Инструменты разработки систем автоматизации. IPC@Chip. Организация приложений на базе промышленного Ethernet 109 KB
  На текущий момент существует 3 различные системы обеспечивающие интеграцию АСУП и АСУТП. WizFctory Fctory Suile TFctory Данные системы объединяют уровень производственной информации т. Система позволяет строить диаграммы линейной логики и диаграммы функционирования системы. Гибкость и универсальность подхода создания любой системы автоматизации любой сложности 2.
45455. Устойчивость систем управления 57.5 KB
  В соответствии с классическим методом решение дифференциального уравнения ищется в виде: yt = yвынt yсвt. Здесь yсвt общее решение однородного дифференциального уравнения то есть уравнения с нулевой правой частью: oyn 1yn1 . Поэтому решение данного уравнения называется свободной составляющей общего решения. yвынt частное решение неоднородного дифференциального уравнения под которым понимается уравнение с ненулевой правой частью.