32410

Защита информации в Windows NT/2000/XP/2003. Аудит

Реферат

Информатика, кибернетика и программирование

Однако большинство событий записывается в три журнала событий: системный журнал содержит информацию о событиях относящихся к компонентам NTXP например сообщения о сбое драйвера или службы при загрузке; журнал безопасности события связанные с безопасностью; журнал приложений события записываемые приложениями. Какие события будут зафиксированы в этом журнале решают разработчики соответствующих приложений. По умолчанию системный журнал и журнал приложений могут просматривать все пользователи журнал безопасности – только...

Русский

2013-09-04

23.15 KB

15 чел.

Защита информации в Windows NT/2000/XP/2003. Аудит.

  Аудит – это процесс, позволяющий фиксировать события, происходящие в ОС. Сообщения о критических событиях, таких как переполнение жесткого диска или сбой в питании компьютера, выдаются на экран дисплея. Однако большинство событий записывается в три журнала событий:

системный журнал содержит информацию о событиях, относящихся к компонентам NT-XP, например, сообщения о сбое драйвера или службы при загрузке;

журнал безопасности - события, связанные с безопасностью;

журнал приложений - события, записываемые приложениями. Какие события будут зафиксированы в этом журнале, решают разработчики соответствующих приложений.

  По умолчанию системный журнал и журнал приложений могут просматривать все пользователи, журнал безопасности – только администраторы. Пользователи с привилегией управления аудитом и журналом безопасности могут читать и очищать журнал безопасности (по умолчанию это только администраторы).

Журналы NT- XP находятся в папке winnt_root\system32\ config в трех файлах:

AppEvent.еvt (журнал приложений);

SecEvent.evt (журнал безопасности);

SysEvent.evt (системный журнал).

При запуске их открывает и блокирует ОС, и даже на дисках с файловой системой FAT получить доступ к файлам журналов, применяя стандартные средства, невозможно. Информация о событиях хранится на диске в бинарном виде. Журнал можно просмотреть в Windows 2000, XP с помощью программы просмотра событий из группы программ «Администрирование».

В журнал для событий записывается следующая информация:

• тип события;

• дата;

• время;

• источник, т.е. ПО, произведшее запись;

• категория;

• код события;

• имя пользователя, действия которого привели к возникновению события;

• имя компьютера, где произошло событие.

SACLSystem Access Control List )— список управления доступом к объектам Microsoft Windows, используемый для аудита доступа к объекту. По умолчанию, WINDOWS не отслеживает события доступа.

Каждая запись в SACL обрабатывается так:

• записи с типом не SystemAudit игнорируются;

• при отсутствии совпадений SID в записи с набором SID субъекта запись пропускается;

• маска требуемого доступа сравнивается с маской доступа в АСЕ, если ни один тип доступа, указанный в маске АСЕ, не требовался пользователем, запись пропускается, в против-ном случае проверяются биты SUCCESSFUL_ACCESS_ ACE_FLAG и FAILED_AС CESS_ACE_FLAG;

• если пользователь получил доступ, а бит SUCCESSFUL_ACCESS ACE_FLAG не установлен, или пользователю доступ был запрещен, а бит FAILED_ACCESS_ ACE_FLAG не установлен, запись пропускается;

• если запись прошла все проверки, монитор безопасности генерирует событие о доступе к объекту, которое должно быть помещено в журнал аудита.

По умолчанию, аудит безопасности не ведется. В Windows 2000, XP аудит включается администратором в оснастке «Локальные параметры безопасности» (рис. 6).

На контроллере домена правила аудита определяются для всех контроллеров в этом домене. На рабочей станции и сервере, не являющемся контроллером домена, правила аудита задаются индивидуально для каждого компьютера

Категории событий бывают:

  1.  Аудит входа в систему (Audit loon events) - Событие успешной регистрации пользователя в системе имеет номер (ID) 528. Событие с номером 538 означает завершение сеанса, начало которого зафиксировано событием 528.

  Событие номер 528 имеет несколько очень важных дополнительных параметров. Имя пользователя и домен определяют вошедшего в систему пользователя или то, чья учетная запись была при этом задействована. Любому активному сеансу работы пользователя с системой присваивается уникальный код входа. Именно он будет записан в событии завершения сеанса, что позволяет определить общее время работы пользователя при анализе событий 528 и 538 с одинаковым кодом входа. В случае нескольких одновременных сессий одного пользователя (например, когда вошедший интерактивно пользователь подключился к своему компьютеру еще и через сервер SMB) данный идентификатор позволяет однозначно определить, в рамках какой сессии совершено то или иное событие.

  1.  Аудит событий входа в систему (Audit account lo-gon events) - Появился с Windows 2000. Данная категория событий используется для отслеживания аутентификации пользователей на контроллерах доменов.
  2.  Аудит доступа к объектам - На дисках, отформатированных с файловой системой NTFS, можно проводить аудит доступа к отдельным файлам и папкам. Это позволяет отследить выполняемые действия и идентифицировать пользователей, ответственных за эти действия. Включение аудита доступа к объектам в политике аудита не приводит (в отличие от других категорий аудита) к автоматической регистрации событий, связанных с доступом к объектам. Администратору требуется сформировать SACL у объектов, к которым планируется осуществить аудит доступа.
  3.  Аудит использования привилегий - Если сотрудник успешно воспользовался своей привилегией, то в журнал безопасности в зависимости от типа привилегии записывается событие 577 (вызов привилегированной службы) или 578 (операции с привилегированным объектом).
  4.  Аудит управления учетными записями - Позволяет определить, какая учетная запись была изменена, добавлена или удалена и кем именно. Но информация, какое именно свойство пользователя или группы было изменено, не сохраняется. События этой категории аудита записываются на той системе, где хранится учетная запись. Так, при создании новой локальной учетной записи соответствующее событие записывается в журнал безопасности данного компьютера, а при изменении учетной записи пользователя домена – в журнал на контроллере домена.

  1.  Аудит доступа к службе каталогов - Данная категория аудита впервые появилась в Windows 2000 и применяется только на контроллере домена. Данная категория генерирует события с кодом 565. Она позволяет определить, какое свойство объекта AD изменено. В событии указывается тип, имя объекта. Для определения кем изменена запись, используется поля «Имя клиента», «Домен клиента», «Код входа клиента». В поле «Свойства» показывается, какое свойство изменено.
  2.  Аудит изменений политики

К данной категории относят следующие события:

- добавление привилегии к учетной записи пользователя (608);

- удаление привилегии от учетной записи пользователя (609);

- установление новых доверительных отношений (610);

- удаление доверительных отношений (611);

- изменение информации о доверенном домене (620);

- изменение политики аудита (612);

- изменение политики Kerberos (617);

- изменение политики восстановления файлов, зашифрованных с помощью EFS (618);

- изменение политики безопасности IP (615,616).

  1.  Аудит системных событий - В данную категорию входят следующие события:

- перезапуск операционной системы (512);

- завершение работы операционной системы (513);

- загрузка пакета проверки подлинности (514);

- регистрация процесса проверки подлинности пользователя при входе в систему (515);

- очистка журнала безопасности (517);

- загрузка пакета уведомления обо всех изменениях в учетных записях пользователя (518).

  1.  Аудит отслеживания процессов - Данная категория позволяет проследить за тем, какие именно программы были запущены на рабочей станции и какие программы выполнялись на сервере.

В этой категории можно выделить следующие основные события

• создание процесса – 592;

• завершение процесса – 593.


 

А также другие работы, которые могут Вас заинтересовать

2847. Прерывания в ОС MS-DOS 36 KB
  Прерывания в ОС MS-DOS Драйвер – это программа, являющаяся посредником между устройством и программой пользователя и предоставляющая набор функций для работы с устройством. В MS-DOS существуют драйверы символьных устройств (за одну операцию обм...
2848. Процесс взаимодействия системы с клавиатурой в ОС MS-DOS 39 KB
  Процесс взаимодействия системы с клавиатурой в ОС MS-DOS Клавиатура – это устройство компьютера, предназначенное для ввода текстовой информации. Технически клавиатура представляет собой матрицу ключей (кнопок), замыкаемых пользователем при нажа...
2849. Работа с мышью 89 KB
  Работа с мышью. Мышь – это устройство компьютера для ввода информации, относящееся к классу манипуляторов. Курсор мыши – это указатель мыши, перемещающийся по экрану в зависимости от перемещения мыши по столу. Так как курсор мыши представля...
2850. Видеосистема компьютера 54.5 KB
  Видеосистема компьютера Видеосистема компьютера включает в себя ряд аппаратных и программных средств, позволяющих получать на экране терминала изображения. К аппаратным средствам относятся монитор и видеоадаптер. К программным средствам относятся ср...
2851. Работа в графическом режиме видеоадаптера в ОС MS-DOS 131 KB
  Работа в графическом режиме видеоадаптера в ОС MS-DOS Функции для работы в графическом режиме определены в стандартном заголовочном файле graphics.h. Так же, как и в текстовом режиме, графические функции оперируют с окнами. При запуске программы исх...
2852. Обработка системных ошибок 65.5 KB
  Обработка системных ошибок В стандартной библиотеке stdlib.h объявлена переменная errno типа int, которая содержит код системной ошибки, значение переменной устанавливается ОС после выполнения каждой системной операции. В стандартной библиотеке errn...
2853. Исчезающие меню и всплывающие окна 24.5 KB
  Исчезающие меню и всплывающие окна Меню представляет собой список строковых опций (пунктов меню), выводимых на экран и предлагаемых пользователю для выбора. При использовании меню по пунктам меню перемещается курсор-подсветка, показывающий пользоват...
2854. Потоковый ввод-вывод 91.5 KB
  Потоковый ввод-вывод Поток – это программный канал для обмена данными между приложением и ОС или другим приложением. При взаимодействии приложения с ОС потоки как правило используются для работы с устройствами и представляют собой абстрактный у...
2855. Первісне суспільство і початок цивілізації на території України 73 KB
  Первісне суспільство і початок цивілізації на території України. Зміст  Вступ. Предмет курсу. Первісний лад на території України. Перші державні утворення на Україні. Східні слов’яни в IV–ІХ ст.. Походження, основні етапи ...