2. Работа с реестром Windows, службами, журналами событий, политиками безопасности для настройки задач аудита

Материалы к данному разделу задания включают в себя приложение TServ.exe и утилиту FileSel.exe. Они обеспечивают работу службы Test Access Service. После регистрации службу необходимо вручную запустить с помощью изученного в теоретической части курса инструментального средства. Чтобы зарегистрировать приложение как службу, надо запустить TServ.exe с параметром -RegServer, для отмены регистрации -UnregServer. (Это распространенный способ регистрации приложений в качестве служб, хотя программист вполне может реализовать другие ключи для регистрации службы). С помощью утилиты FileSel.exe выбирается имя файла, к которому обращается служба. Результат этого события записывается службой в журнал приложений с указанием имени файла.

1. Запустить оснастку просмотра событий приложений.

2. Очистить все записи журнала.

3. Увеличить максимальный размер журнала до 2 Мб.

4. Настроить перезапись журналов (логов) по мере их заполнения.

5. Зарегистрировать серверное приложение как службу.

6. Запустить редактор системного реестра.

7. Найти в реестре записи о службе и убедиться в корректности ее регистрации.

8. Экспортировать ветви реестра зарегистрированной службы в файл. В какой файл лучше экспортировать? Файл приложить к финальному отчету.

9. Удалить записи о службе (необходимо использовать фильтры в программе Regmon). Попробовать перезапустить службу.

10. Импортировать записи реестра из сохраненного файла и убедиться в работоспособности службы. В реестре найти и показать четкое месторасположение записи зарегистрированной службы.

11. Настроить запуск службы Test Access Service от имени учетной записи <Фамилия-Имя учащегося>.

12. Создать папку E:\Projects\temp\Test Access и в ней – пустой текстовый файл <Название группы учащегося.txt >.

13. Дать пользователю <Фамилия-Имя учащегося> права, достаточные для редактирования и удаления файла <Название группы учащегося.txt > на данном компьютере.

14. В настройках политики безопасности для папки E:\Projects\temp\Test Access установить соответствующие опции аудита.

15. Назначить аудит входа пользователя <Фамилия-Имя учащегося> в систему (необходимо отслеживать отказы).

16. Войти в систему под пользователем <Фамилия-Имя учащегося> и при помощи утилиты FileSel.exe выбрать в папке E:\Projects\temp\Test Access файл <Название группы учащегося.txt >.

17. Выполнить вход под другой учетной записью. Для службы Test Access Service настроить тип запуска от имени Local System Account, и запретить доступ от имени этой учетной записи к файлу <Название группы учащегося.txt >.

18. Запустить службу Test Access Service.

19. Повторить пункт 2.16.

20. Выполнить вход под другой учетной записью. Отменить регистрацию приложения в качестве службы. Проверить, что все записи из реестра о службе удалены.

21. Сохранить все события журналов Приложение, Безопасность, Система в отдельные файлы: TAApplication.log, TASecurity.log и TASystem.log.

22. Найти записи обо всех событиях в журналах. Проанализировать (сделать выводы) записи о событиях, касающихся проделанных действий.

Результатом выполнения данного раздела задания являются оговоренные выше файлы с записями журналов системы и файл данных выбранных ветвей реестра, а также описание произведенных действий в соответствующем разделе финального отчета.