- •Лабораторная работа № 4 Задание 1. Аудит и журналы безопасности Windows
- •Теоретические сведения
- •Общие понятия
- •Политика аудита
- •Аудит событий входа учетных записей в систему.
- •Аудит событий входа в систему.
- •Аудит изменения политики.
- •Аудит отслеживания процессов.
- •Аудит системных событий
- •События аудита
- •Управление аудитом
- •Порядок выполнения задания
- •Теоретические сведения
- •Общие сведения об efs
- •Принцип действия efs
- •Особенности шифрования efs
- •Восстановление данных
- •Порядок выполнения работы.
Управление аудитом
Применение политик аудита существенно повышает безопасность и целостность системы. Практически каждая компьютерная система в сети должна быть настроена с ведением журналов безопасности.
Администраторам следует создать политику аудита, определяющую содержимое отчетов о событиях безопасности и регистрирующую действия пользователей или компьютеров, относящиеся к указанным категориям событий.
Перед реализацией политики аудита нужно решить, для каких категорий событий следует выполнять аудит. От параметров аудита, заданных администратором для категорий событий, зависит политика аудита организации. Если параметры аудита для конкретных категорий событий определены, администраторы могут создать политику аудита, соответствующую требованиям организации.
Если политика аудита не задана, определить, что произошло при инциденте в сфере безопасности, будет сложно или невозможно. Если же настроить параметры аудита так, чтобы события регистрировались при многих санкционированных действиях, журнал безопасности может быть заполнен бесполезными данными.
В сетях с минимальным требованиям к безопасности подвергайте аудиту:
успешное использование ресурсов, только в том случае, если эта информация вам необходима для планирования;
успешное использование важной и конфиденциальной информации.
В сетях со средними требованиями к безопасности подвергайте аудиту:
успешное использование важных ресурсов;
удачные и неудачные попытки изменения стратегии безопасности и административной политики;
успешное использование важной и конфиденциальной информации.
В сетях с высокими требованиями к безопасности подвергайте аудиту:
удачные и неудачные попытки регистрации пользователей;
удачное и неудачное использование любых ресурсов;
удачные и неудачные попытки изменения стратегии безопасности и административной политики.
Журналы сбоев часто оказываются более информативными, чем журналы успешного выполнения операций, потому что сбои обычно свидетельствуют об ошибках. Например, успешный вход пользователя в систему обычно считается нормальным развитием событий. Если кто-то безуспешно пытается несколько раз войти в систему, это может быть признаком использования чужих учетных данных. События, происходящие на компьютере, регистрируются в журналах событий.
Перед реализацией политики аудита в организации следует определить способы сбора, организации и анализа данных. От большого объема данных аудита мало пользы, если отсутствует план их использования. Кроме того, аудит компьютерных сетей может отрицательно сказываться на производительности систем. Даже если влияние определенного сочетания параметров на компьютер конечного пользователя практически незаметно, на сервере с высокой нагрузкой оно может оказаться существенным. Таким образом, перед заданием новых параметров аудита в рабочей среде следует проверить, не ухудшит ли это производительность систем.
Порядок выполнения задания
Изучить теоретический материал лабораторной работы.
Изучить управление политиками аудита в системе.
Управление политиками аудита можно осуществлять через оснастку «Локальные параметры безопасности» или через оснастку «Групповая политика».
Оснастка «Локальные параметры безопасности»
Для вызова оснастки «Локальные параметры безопасности» нажмите «Пуск» - «Выполнить», наберите secpol.msc и нажмите «ОК».
Далее выберите «Локальные политики» - «Политика аудита»
Оснастка «Групповая политика»
Для вызова оснастки «Групповая политика» нажмите «Пуск» - «Выполнить», наберите gpedit.msc и нажмите «ОК».
Далее выберите «Конфигурация компьютера» - «Конфигурация Windows» - «Параметры безопасности» - «Локальные политики» - «Политика аудита»
Очевидно, что использовать оснастку «Локальные параметры безопасности» для этих целей проще. Более подробно оснастка «Локальные параметры безопасности» будет рассмотрена в лабораторной работе «Локальная политика безопасности Windows».
Изучить аудит событий Windows, объектов файловой системы и реестра.
После выбора политики аудита изучение процесса аудита следует осуществлять экспериментальным путем в два этапа:
выполнение действия, подлежащего аудиту (например, добавление новой учетной записи при включенной политике «Аудита управления учетными записями»);
просмотр зарегистрированного события в журнале безопасности Windows
При включении соответствующей политики аудита, регистрация событий аудита начинается автоматически. Это справедливо для всех политик аудита, кроме «Политики аудита доступа к объектам». Данная политика используется для регистрации событий доступа к основным объектам ОС (файловой системе, реестру, принтерам и т.д.). Для того, чтобы регистрация событий началась, необходимо явно указать объект и виды доступа, подлежащие аудиту. Для файловой системы и реестра это делается через закладку «Безопасность» диалогового окна свойств объекта. На закладке «Безопасность» следует нажать кнопку «Дополнительно» и далее перейти, а закладку «Аудит».
Изучить управление журналами событий и безопасности Windows
Для просмотра и управления журналом безопасности Windows используют оснастку «Просмотр событий».
Для вызова оснастки необходимо:
Нажать Пуск > Выполнить.
Набрать eventvwr.msc и нажать ОК.
Для оформления работы использовать скриншоты.
Задание 2. Шифрование данных в Windows
Цель работы: Ознакомиться с возможностями защиты конфиденциальных данных в ОС Windows, изучить особенности и принципы функционирования EFS