3-1 Основи побудови та захисту сучасних операційних систем / Защита_операционных_систем_КНМЗ
.pdf
Події для файлів і папок, що викликаються діями користувачів
|
Подія |
|
Дія користувача, що викликало подію |
|
Перехід в папку / Виконання файлу |
Запуск програми або отримання доступу |
|||
(TraverseFolder/Execute File) |
до папки при зміні поточної папки |
|||
|
|
|
|
|
Отримання |
списку |
файлів / |
Перегляд вмісту файлу або папки |
|
Читання |
даних |
(ListFolder/Read |
|
|
|
|
|
|
|
Data) |
|
|
|
|
Читання атрибутів (Read Attributes) |
Перегляд атрибутів файлу або папки |
|||
|
|
|
||
Читання розширених |
атрибутів |
Перегляд атрибутів файлу або папки |
||
(ReadExtended Attributes) |
|
|
||
Створення файлів / Запис даних |
Зміна вмісту файлу або створення нових |
|||
(CreateFiles / Write Data) |
|
файлів в папці |
||
Створення |
папок |
/ |
Додавання |
Створення папок всередині папок |
даних (CreateFolders/Append Data) |
|
|||
|
|
|
|
|
Події для файлів і папок, що викликаються діями користувачів
Подія |
Дія користувача, що викликало подію |
|
|
Запис атрибутів (Write Attributes) |
Зміна атрибутів файлу або папки |
Запис розширених атрибутів (Write |
Зміна атрибутів файлу або папки |
Extended Attributes) |
|
Видалення підпапок і файлів (Delete |
Видалення файлу або папки всередині |
Subfolders And Files) |
папки |
|
|
Видалення (Delete) |
Видалення файлу або папки |
Читання дозволів (Read Permissions) |
Перегляд прав власника файлу на файл |
|
або папку |
Зміна дозволів (Change Permissions) |
Зміна прав доступу до файлу або папці |
Зміна власника(Take Ownership) |
Змінити право власника на файл або папку |
|
|
Події для принтерів, що викликаються діями користувачів
Подія |
Дія користувача, що викликало подію |
|
|
Печатка Зміна параметрів принтера, припинення (Print) друку, дозвіл спільного використання
принтера, видалення принтера з системи
Управління Зміна параметрів принтера, припинення принтерами друку, дозвіл спільного використання
принтера, видалення принтера з системи
Управління Зміна параметрів завдань; припинення або документами продовження друку, зміна порядкового номера в черзі або видалення документів; дозвіл спільного використання принтера;
зміна параметрів принтера
Читання Перегляд прав доступу до принтера
дозволів
Зміна Зміна прав доступу до принтера
дозволів
Зміна Зміна власника принтера
власника
Журнали OS Windows
Журнал |
Опис |
|
Зберігає повідомлення про помилки, попередження або |
Журнал |
інформацію, що генеруються додатками, наприклад |
додатків |
СУБД або програмою електронної пошти. Події, що |
|
реєструються в журналі, задаються розробниками |
|
відповідних програм |
|
Містить інформацію про успішні або невдалі спроби |
Журнал безпеки |
виконання операцій, аудит яких включено. Ці події |
|
реєструються OS Windows відповідно до політики аудиту |
|
|
|
Зберігає повідомлення про помилки, попередження і |
системний |
дані, що генеруються OS Windows. Події, що реєструються |
журнал |
в журналі, задаються в OS Windows |
|
|
Управління журналами аудиту
Порівнюючи дані журналів, записані в різний час, можна виявляти закономірності в роботі OS Windows. Їх аналіз дозволяє визначати завантаженість ресурсів і планувати їх розширення.
У журналах фіксуються спроби використання ресурсів.
Параметри кожного журналу аудиту можна налаштовувати окремо
Граничний розмір кожного журналу, який може змінюватися від 64 кбайт до 4194240 кбайт (4 Гбайт).
За замовчуванням розмір журналу становить 512 кбайт.
При досягненні файлом журналу граничного розміру відбувається один з варіантів, перерахованих в таблиці.
Варіанти обробки заповнених файлів журналу аудиту
Параметр |
|
Опис |
|
|
|
|
|||
Видаляти старі події по |
Якщо встановлено цей параметр, можна |
|||
необхідності |
втратити |
інформацію |
при |
переповненні |
(Overwrite Events As Needed) |
журналу до того, як його збережуть. Однак при |
|||
|
цьому не потрібно обслуговування. |
|||
Видаляти події, що відбулися |
Якщо, встановлений цей параметр, можна |
|||
більш, ніж Х днів назад |
втратити |
інформацію |
при |
переповненні |
(Overwrite Events Older Than X |
журналу до того, як його збережуть. Буде |
|||
Days) |
втрачено тільки та інформація, яка надійшла |
|||
|
більш Х днів тому. При застосуванні цього |
|||
|
параметра необхідно вказати число днів (за |
|||
|
замовчуванням 7) |
|
|
|
He видаляти події |
Якщо встановлено цей параметр, потрібно |
|||
(Do Not Overwrite Events) |
очищати журнал вручну. При заповненні |
|||
|
журналу OS Windows припиняє реєстрацію |
|||
|
подій, зберігаючи вже наявні записи журналу |
|||
|
безпеки |
|
|
|
|
|
|
|
|
Архівація журналів
Архівація журналів безпеки дозволяє вести облік подій, пов'язаних з безпекою.
На багатьох підприємствах прийнято зберігати заархівовані журнали протягом деякого часу, щоб мати можливість переглянути інформацію з безпеки за необхідний період
Дії для архівації, очищення або перегляду файлу журналу
Дія |
|
Виконайте |
Зберегти журнал в архіві |
Клацніть Зберегти файл журналу як (Save Log File As), а |
|
|
|
потім введіть ім'я файлу |
Очистити журнал |
|
Для очищення журналу клацніть Стерти всі події (Clear |
|
|
All Events). При цьому Windows генерує запис в журналі |
|
|
безпеки про те, що журнал очищено |
Переглянути |
архівований |
Клацніть Новий вид журналу (New Log View); вкажіть вид |
журнал |
|
обраного журналу |
|
|
|
