Міністерство освіти, науки, молоді та спорту України

Харківський національний університет радіоелектроніки

Кафедра ТКВТ

Основи побудови та захисту сучасних ОС

Лабораторна робота №3

“ Аудит ресурсов и событий в OS Windows”

Виконала: Перевірив:

ст. групи УІБ-10-1 Добринін І.С

Кудряшова Е.И

Харків 2012

Цель работы: Исследовать вопросы, связанные с реализацией политики аудита и ресурсов и событий в OS Windows XP.

1. Планирование политики аудита.

Руководствуясь правилами, которые приведены ниже, составим нашу политику аудита.

а) необходимо регистрировать неудачные попытки доступа к компьютеру;

б) необходимо регистрировать неавторизованный доступ к файлам, составляющим базу данных по клиентам;

в) необходимо отслеживать использование цветного принтера для подготовки счетов за его использование;

г) необходимо следить, не пытается ли кто-нибудь изменить аппаратную часть компьютера;

д) необходимо вести учет действий, выполняемых администратором, чтобы отследить неавторизованные изменения;

е) необходимо вести учет процедур резервного копирования для предотвращения хищения данных;

ё) необходимо отслеживать неавторизованный доступ к критически важным объектам Active Directory;

Для регистрации неудачных попыток доступа к компьютеру нужно регистрировать отказ при неудачной попытке удаленного и локального доступа.

Для регистрации неавторизованного доступа к файлам БД будем регистрировать удачные попытки доступа к объектам (так как если регистрировать и отказы, то журнал заполняется очень быстро, отказов формируется очень много, а по сути эта запись в журнале ничего не дает). Доступ к принтеру так же фиксируется этим пунктом.

Следить за попытками изменения аппаратной конфигурации можно установив аудит за успехами и отказами в изменении системной политики.

Фиксированные успехи в использовании привилегий помогут проследить за возможными неавторизованными изменениями со стороны администратора.

Успех в отслеживании процесса резервного копирования позволит контролировать своевременное резервирование данных

Решение по аудиту перечисленных действий, предоставим в виде таблицы.

Регистрируемые действия	Успех	Отказ
События входа в систему	+	+
Управление учетными записями
Доступ к службе каталогов
Вход в систему	+	+
Доступ к объектам	+	+
Изменение системной политики	+
Использование привилегий	+	+
Отслеживание процесса		+
Системные события	+	+

2. Настройка политики аудита.

После того как мы определили для себя основные задачи проведения аудита, запустим консоль mmc, добавим оснастку Групповая политика, для локального копьютераи включим аудит выбранными нами событи. В окне Консоль 1, в меню Консоль, выбираем «Добавить или удалить оснастку». В диалоговом окне выберем в списке «Редактор объекта и групповой политики» и щелкнем кнопку Добавить.

В дереве консоли дважды щелкнем на элемент Политика «Локальный компьютер», дальше «Конфигурация компьютера», «Конфигурация Windows», «Параметры безопасности», «Локальные политики» и «Политика аудита»

Выбираем элемент «Политика аудита». В правой панели окна Политика «Локальный компьютер» отобразятся текущие параметры политики аудита.

Чтобы настроить политику аудита, в правой части окна выберем нужный тип события и установим флажок Успех или Отказ.

Перезагружаем компьютер для применения действий.

Настройка аудита файлов

Для начала создаем наш тестовый файл Audit в папке Audit. В диалоговом окне «Свойства» вкладке «Безопасность» - «Дополнительно» , вкладке «Аудит» добавляем новый элемент аудита

Для всех пользователей выставляем следующие права относительно этого файла:

Если предварительно задать аудит для все й папки, то от родительского объекта (то есть папки) по умолчанию файлу передастся элемент аудита родительской папки. Что бы этого не произошло снимаем галочку «Наследовать элементы аудита»

И выбираем необходимое действие для унаследованного элемента :

Проверка разрешений файла

1. В диалоговом окне свойств аудита щелкнем Пользователь и убедимся что для этого файла разрешение Чтение и запуск и Чтение помечены флажками Разрешить.

2. Закроем окно свойств, щелкнув ОК. Закроем Проводник.