- •Лабораторная работа № 4 Задание 1. Аудит и журналы безопасности Windows
- •Теоретические сведения
- •Общие понятия
- •Политика аудита
- •Аудит событий входа учетных записей в систему.
- •Аудит событий входа в систему.
- •Аудит изменения политики.
- •Аудит отслеживания процессов.
- •Аудит системных событий
- •События аудита
- •Управление аудитом
- •Порядок выполнения задания
- •Теоретические сведения
- •Общие сведения об efs
- •Принцип действия efs
- •Особенности шифрования efs
- •Восстановление данных
- •Порядок выполнения работы.
Аудит событий входа учетных записей в систему.
Этот параметр политики определяет необходимость аудита каждого входа пользователя в систему или выхода из нее с другого компьютера, проверяющего учетную запись.
При проверке подлинности локального пользователя на локальном компьютере формируется событие входа в систему, регистрируемое в локальном журнале безопасности. События выхода из системы не регистрируются.
Аудит управления учетными записями.
Этот параметр политики определяет необходимость аудита каждого события управления учетными записями на компьютере. Примеры событий управления учетными записями:
создание, изменение или удаление учетной записи пользователя;
переименование, отключение или включение учетной записи пользователя;
задание или изменение пароля
Организациям нужна возможность определения того, кто создает, изменяет и удаляет учетные записи доменов и локальных систем. Несанкционированные изменения могут быть как ошибками администраторов, не соблюдающих политики организации, так и признаками умышленных атак.
Например, события отказов при управлении учетными записями часто свидетельствуют о попытках расширения привилегий, предпринимаемых администратором более низкого уровня или злоумышленником, получившим доступ к его учетной записи. Соответствующие журналы помогают узнать, какие учетные записи изменил или создал хакер.
Наилучший подход к управлению доступом состоит в том, чтобы предоставлять доступ группам, а не отдельным пользователям. С помощью категории событий Управление учетными записями можно легко идентифицировать случаи изменения членства в группах. Во многих случаях злоумышленники, получившие права административного доступа к системе, сначала создают новую учетную запись, а затем используют ее для дальнейших атак. С помощью событий категории Управление учетными записями факт создания новой учетной записи может быть легко выявлен.
Аудит доступа к службе каталогов.
Категория Аудит доступа к службе каталогов обеспечивает низкоуровневый аудит объектов ActiveDirectory (AD) и их свойств. Поскольку данная категория имеет непосредственное отношение к AD, то активировать аудит подобных событий на системах, которые не являются контроллерами домена, не имеет ни малейшего смысла.
Аудит событий входа в систему.
Этот параметр политики определяет необходимость аудита каждого входа пользователя в систему или выхода из нее. Параметр Аудит событий входа в систему регламентирует создание записей, служащих для слежения за активностью локальных учетных записей.
Если присвоить параметру Аудит событий входа в систему значение Нет аудита, будет сложно или невозможно узнать, какие пользователи входили на компьютеры в организации или пытались это сделать. Если пользователь входит в систему с локальной учетной записью, а параметр Аудит событий входа учетных записей в систему имеет значение Включен, при входе в систему формируются два события.
Аудит доступа к объектам.
Сам по себе этот параметр политики не запускает аудита каких-либо событий. Параметр Аудит доступа к объектам определяет необходимость аудита событий доступа к объекту (например к файлу, папке, разделу реестра или принтеру), для которого задан системный список управления доступом (SACL).
System Access-Control List (SACL) - список, похожий на ACL, но отвечающий не за разрешение или запрет на доступ, а за аудит (протоколирование в журнале безопасности) успешных и безуспешных попыток доступа к объекту.
SACL состоит из записей управления доступом. Каждая запись управления доступом включает сведения трех типов:
участник безопасности (пользователь, компьютер или группа), для которого будет выполняться аудит;
определенный тип доступа, для которого будет выполняться аудит (маска доступа);
флаг, указывающий на необходимость аудита событий сбоя доступа, успешного доступа или того и другого вида событий.
Если параметр Аудит доступа к объектам настроен для регистрации значений Успех, запись аудита создается каждый раз, когда пользователь успешно получает доступ к объекту с указанным системным списком управления доступом. Если этот параметр настроен для регистрации значений Отказ, запись аудита создается каждый раз, когда пользователь безуспешно пытается получить доступ к объекту с указанным системным списком управления доступом.
При настройке системных списков управления доступом организации должны определять только те действия, которые необходимо включить. Например, может потребоваться включить параметр Аудит записи и добавления данных для EXE-файлов, чтобы отслеживать их изменение или замену, так как вирусы, черви и «троянские кони» обычно воздействуют на EXE-файлы. Кроме того, может потребоваться отслеживание доступа к конфиденциальным документам и их изменения.
В принципе с помощью категории Аудит доступа к объектам можно следить за доступом к файлам, папкам, принтерам, разделам реестра и системным службам, но в большинстве случаев данная категория используется для отслеживания доступа к файлам и папкам. Как только будет включен аудит по данной категории, в журнале безопасности сразу же отобразится некоторое количество событий, касающихся доступа к объектам в базе безопасности SAM. Однако каких-либо других событий, связанных с доступом к файлам или другим объектам, вы здесь не увидите, поскольку каждый объект имеет свои настройки параметров аудита, а по умолчанию почти у всех объектов аудит отключен. Это правильная практика, поскольку, если в системе будет включен аудит попыток доступа к каждому файлу или объекту, то данная система до своей полной остановки будет заниматься только обработкой этих событий, а ее журнал безопасности быстро переполнится, вне зависимости от назначенного ему объема. Рекомендуется применять эту категорию только к критически важным файлам, действительно требующим механизмов слежения за доступом к ним.