3. Использование утилиты Просмотр событий

Утилита применяется для решения различных задач администрирования, в том числе для просмотра журналов аудита, созданных в результате установки политики аудита и обновляемых при возникновении заданных событий. По умолчанию эта утилита позволяет просматривать три журнала (табл. 12).

Журнал	Описание
Журнал описаний	Хранит сообщение об ошибках, предупреждениях или информацию, генерируемые приложениями, например, СУБД или программой электронной почты. События, регистрируемые в журнале, задаются разработчиками соответствующих программ
Журнал безопасности	Содержит информацию об успешных или неудачных попытках выполнения операций, аудит которых включен. Эти события регистрируются Windows XP Professional в соответствии с политикой аудита
Системный журнал	Хранит сообщения об ошибках, предупреждения и данные, генерируемые Windows XP Professional. События, регистрируемые в журнале, задаются в Windows XP Professional

Таблица 12. Журналы Windows XP Professional

3. Задания

Выполняя это практическое задание, вы продумаете политику аудита компьютера. Затем настроите политику аудита, включив аудит заданных событий, а также настроите аудит файла. Вы просмотрите файл журнала безопасности и настроите режим автоматического удаления записей при переполнении файла журнала с помощью утилиты Просмотр событий.

4. Планирование политики аудита

Прежде всего, нужно ответить на несколько вопросов. Какие типы событий регистрировать? Регистрировать успешные, неудачные попытки или оба вида событий? Принимая решение, руководствуйтесь следующими правилами:

• Необходимо регистрировать неудачные попытки доступа к компьютеру.

• Необходимо регистрировать неавторизованный доступ к файлам, составляющим базу данных по клиентам.

• Необходимо отслеживать использование цветного принтера для подготовки счетов за его использование.

• Необходимо следить, не пытается ли кто-либо изменить аппаратную конфигурацию компьютера.

• Необходимо вести учет действий, выполняемых администратором, чтобы отследить неавторизованные изменения.

• Необходимо вести учет процедур резервного копирования для предотвращения хищения данных.

• Необходимо отслеживать неавторизованный доступ к критически важным объектам Active Directory.

Ваши решения по аудиту перечисленных действий, успешных или неудачных попыток или обоих видов событий запишите в таблице.

Регистрируемое событие	Успех	Отказ
События входа в систему
Управление учетными записями
Доступ к службе каталогов
Вход в систему
Доступ к объектам
Изменение системной политики
Использование привилегий
Отслеживание процесса
Системные события

2. Настройка политики аудита

   1. Войдите в систему под именем администратора.

   2. Щелкните Пуск, Выполнить, в поле Открыть наберите mmc и щелкните ok.

   3. В окне Консоль1 выберите пункт меню Консоль / Добавить или удалить оснастку.

   4. В диалоговом окне Добавить изолированную оснастку выберите Групповая политика и щелкните кнопку Добавить.

   5. Убедитесь, что в поле Объект групповой политики окна Выбор объекта групповой политики значится Локальный компьютер, затем щелкните кнопку Готово.

   6. В диалоговом окне Добавить изолированную оснастку щелкните Закрыть. Заметьте, что в окне Добавить / Удалить оснастку отображается элемент Политика «Локальный компьютер» несмотря на то, что вы выбрали оснастку Групповая политика. Дело в том, что для локального компьютера Групповая политика означает то же 41емое, что и Политика «Локальный компьютер».

   7. В окне Добавить / Удалить оснастку щелкните кнопку Закрыть.

   8. В дереве консоли дважды щелкните элемент Политика «Локальный компьютер»

   9. Дважды щелкните элемент Конфигурация компьютера, затем дважды щелкните элемент Конфигурация Windows.

   10. Дважды щелкните элемент Параметры безопасности, затем дважды щелкните элемент Локальные политики.

   11. Щелкните элемент Политика аудита. В правой панели окна Политика «Локальный компьютер» отобразятся текущие параметры политики аудита.

   12. Чтобы настроить политику аудита, в правой части окна дважды щелкните каждый тип события и установите флажок Успех или Отказ согласно рекомендациям следующей таблицы:

       Регистрируемое событие	Успех	Отказ
       События входа в систему
       Управление учетными записями	х
       Доступ к службе каталогов
       Вход в систему		х
       Доступ к объектам	х	х
       Изменение системной политики	х
       Использование привилегий	х
       Отслеживание процесса	х	х
       Системные события

   13. Закройте консоль ММС и сохраните локальную групповую политику.

   14. Перезапустите компьютер, чтобы изменения немедленно вступили в силу.

3. Настройка аудита файлов

   1. Войдите в систему под именем любой учетной записи, входящей в группу Администраторы.

   2. Создайте папку Audit в корне системного диска – С:\Audit.

   3. В папке Audit создайте текстовый файл с именем аудит, например, С:\Audit\audit.txt.

   4. Щелкните правой кнопкой мыши на файле audit.txt и выберите Свойства.

   5. В диалоговом окне Свойства выберите вкладку Безопасность и щелкните кнопку Дополнительно. Если в окне Свойства нет вкладки Безопасность, выясните, находятся ли выбранные файлы и папки в разделе, отформатированном как NTFS? Если компьютер не входит в домен, выключен ли простой общий доступ к файлам? Для выключения простого общего доступа к файлам щелкните правой кнопкой мыши Мой компьютер, выберите пункт меню Проводник. В меню Сервис выберите команду Свойства папки. На вкладке Вид снимите флажок Простой общий доступ к файлам (Рекомендуется) и щелкните ok.

   6. В диалоговом окне Управление доступом выберите вкладку Аудит.

   7. Щелкните кнопку Добавить.

   8. В диалоговом окне Выбор: пользователь или группа в поле Имя укажите Все и щелкните ok.

   9. В диалоговом окне Элемент аудита для audit.txt установите флажки Успех и Отказ для каждого из следующих событий: - Создание файлов / Запись данных - Удаление - Смена разрешений - Смена владельца

   10. Щелкните ok. Windows XP Professional отобразит группу Все в диалоговом окне Дополнительные параметры безопасности для audit.txt.

   11. Для подтверждения изменений щелкните кнопку ok. Не закрывайте окно свойств аудита, оно потребуется в дальнейшем.

4. Проверка разрешений файла

   1. В диалоговом окне свойств аудита щелкните Пользователи и убедитесь, что для этого файла разрешения Чтение и запуск и Чтение помечены флажками Разрешить.

   2. Закройте окно свойств, щелкнув ok.

5. Проверка правильности параметров политики аудита для файла audit.txt В этом упражнении вы попытаетесь открыть и изменить файл audit.txt, чтобы получить записи в журнале безопасности компьютера.

   1. Щелкните Пуск, Панель управления, затем – Учетные записи пользователей.

   2. Убедитесь, что учетная запись User2 существует и является ограниченной.

   3. Создайте пароль User2 для учетной записи User2.

   4. Закройте все окна и выйдите из системы.

   5. Зарегистрируйтесь в системе под именем User2, используя пароль User2.

   6. Откройте файл C:\Audit\audit.txt. В открывшемся окне программы Блокнот появится пустой файл audit.

   7. Введите следующий текст «Этот файл изменен пользователем User2».

   8. Попытайтесь сохранить файл. Удалось ли вам сохранить файл? Почему?

   9. Закройте файл, не сохраняя его, и завершите работу с системой.

6. Просмотр журнала безопасности

   1. Войдите в систему под именем любой учетной записи, входящей в группу Администраторы.

   2. Щелкните Пуск, Панель управления, категорию Производительность и обслуживание, затем Администрирование, затем дважды щелкните ярлык Просмотр событий.

   3. В дереве консоли щелкните журнал приложений и просмотрите его содержимое. Просмотрите описание нескольких событий, дважды щелкнув соответствующие записи.

   4. В дереве консоли щелкните Системный журнал и просмотрите его содержимое. Просмотрите описание нескольких событий, дважды щелкнув каждую из соответствующих записей.

   5. В дереве консоли щелкните журнал безопасности и просмотрите его содержимое. Просмотрите описания всех событий категории Отказ, дважды щелкая соответствующие записи, пока не найдете попытку доступа пользователя User2 к файлу C:\Audit\audit.txt.

   6. В меню Вид выберите пункт Фильтр.

   7. В диалоговом окне Свойства: Безопасность в поле Пользователь введите User2 и щелкните ok. Применение фильтра уменьшит число событий, которые придется просмотреть, чтобы найти нужное.

   8. Дважды щелкните каждое из событий. Обратите внимание, что все они относятся к пользователю User2.

7. Управление журналом безопасности В этом упражнении вы настроите систему с помощью утилиты просмотра событий так, чтобы при заполнении файла журнала события затирались.

   1. В дереве консоли выберите элемент Система.

   2. В меню Действие щелкните пункт Свойства.

   3. В диалоговом окне свойств журнала выберите Затирать старые события по необходимости.

   4. В поле Максимальный размер журнала измените максимальный размер журнала на 2048 кбайт и щелкните ok. Теперь Windows XP Professional будет заполнять журнал, пока его объем не достигнет 2048 кбайт, а затем начнет затирать старые события по мере необходимости.

   5. Закройте окно Просмотр событий и окно Администрирование.