3-1 Основи побудови та захисту сучасних операційних систем / Защита_операционных_систем_КНМЗ

30

комп'ютери вони розраховані. Способи організації параметрів групових політик в об'єктах GPO перераховані нижче.

−Об'єкти GPO з однотипними параметрами. Тут мається на увазі розміщення в об'єктах параметрів, що належать до одного типу, приміром, тільки параметрів безпеки. Ця модель підходить для компаній, у яких адміністративні обов'язки розподіляються серед декількох фахівців відповідно до поставлених завдань.

−Об'єкти GPO з різнорідними параметрами. У кожному об'єкті GPO розміщують параметри групової політики декількох типів. Один об'єкт, наприклад, може містити параметри програм, а інший - параметри безпеки та сценаріїв. Така модель краще адаптована до централізованої схеми адміністративного керування, в якій одному адміністратору доводиться виконувати всі завдання, пов'язані з керуванням груповою політикою.

−Об'єкти GPO зі спеціалізованими параметрами. Об'єкти GPO діляться на дві категорії, що містять параметри конфігурації користувачів і комп'ютерів, відповідно. З одного боку, ця модель підвищує чисельність об'єктів GPО, що активуються при реєстрації, в результаті чого цей процес трохи вповільнюється; з іншого, вона спрощує процедуру усунення несправностей. Приміром, якщо адміністратор підозрює, що проблема криється в об'єкті GPO конфігурації комп'ютера, він може зареєструватися під обліковими даними користувача без GPO та усунути вплив параметрів користувацької політики.

ЗАВДАННЯ ДЛЯ ПРАКТИЧНОГО ВИКОНАННЯ ТА ДОСЛІДЖЕННЯ

1.Дослідження основних параметрів групової політики локального комп’ютера, що підлягають налаштуванню.

2.Формування висновків щодо порядку налаштування групової політики локального комп’ютера.

3.Налаштування групової політики локального комп’ютера у відповідності з політекою безпеки підприємства.

31

КОНТРОЛЬНІ ПИТАННЯ

1.Дати визначення групової політики.

2.Які типи групової політики Вам відомі?

3.Що таке об'єкти групової політики GPO? Порядок створення об'єктів групової політики.

4.Які існують параметри групової політики?

5.Навести послідовність введення групової політики в дію. Розкрити принципи наслідування параметрів групової політики.

6.Описати механізми зміни послідовності застосування правил групової

політики.

7.Що таке фільтрація області дії GPO? Делегування повноважень керування об'єктами GPO.

8.Що являє собою результуюча політика (RSoP)? Визначити стратегії планування групових політик.

32

Лабораторна робота №4.

ДОСЛІДЖЕННЯ МОЖЛИВОСТЕЙ АУДИТУ РЕСУРСІВ ТА ПОДІЙ В ОПЕРАЦІЙНИХ СИСТЕМАХ

Мета роботи: ознайомлення з підсистемою аудиту OS Windows, дослідження питань, пов’язаних з реалізацією політики аудита ресурсів та подій в OS Windows.

ОСНОВНІ ТЕОРЕТИЧНІ ВІДОМОСТІ

Аудит дозволяє відстежувати на комп'ютері як дії користувачів, так і дії операційної системи Windows, звані подіями (events). Засобами аудиту можна задати режим, при якому Windows, реєструє події в журналі безпеки (security log). У ньому зберігаються записи про успішні і невдалі спроби входу в систему і про такі події, як створення, відкриття та закриття файлів або інших об'єктів.

Запис аудиту в журналі безпеки містить дані про:

−виконаних операціях;

−користувачів, які виконали операцію;

−тому, успішно чи не успішно виконана операція, крім того, вказується час, коли відбулося це подія.

Поняття про політику аудиту

Політика аудиту (audit policy) задає типи подій системи безпеки, які Windows реєструє в журналі безпеки кожного комп'ютера. Журнал безпеки дозволяє відстежувати задані події.

Система Windows реєструє події в журналі безпеки того комп'ютера, на якому подія відбувається. Так, кожен раз, коли хто-небудь намагається увійти в систему і спроба входу виявляється невдалою, OS Windows реєструє подія в журналі безпеки даного комп'ютера.

Можна налаштувати політику аудиту для даного комп'ютера на виконання наступних операцій:

−виявлення успішних чи невдалих дій, наприклад спроб входу користувачів в систему або окремого користувача прочитати

33

вказаний файл, зміни облікового запису пользовате ля або приналежності до групи, зміна параметрів безпеки;

−виключення або мінімізація ризику неавторизованого використання ресурсів.

Для перегляду подій, зареєстрованих системою Windows в журналі безпеки, використовується утиліта Перегляд подій (Event Viewer). Можна також зберігати файли журналу в архіві для з'ясування закономірностей за вказаний період часу - наприклад, щоб визначити частоту використання принтерів або файлів або виявлення спроб несанкціонованого використання ресурсів.

Визначення подій, що підлягають реєстрації

При плануванні політики аудиту потрібно визначити, які події слід реєструвати і на яких комп'ютерах треба встановити аудит. За замовчуванням аудит відключений. Коли відомо, на яких комп'ютерах він потрібен, потрібно також визначити, які події реєструвати на кожному з них. OS Windows реєструє події, що підлягають аудиту, окремо на кожному комп'ютері.

Можна реєструвати наступні основні типи подій:

−спроби доступу до файлів і папок;

−вхід в систему і вихід з неї;

−вимикання комп'ютера з OS Windows;

−запуск комп'ютера з OS Windows;

−зміни облікових записів користувачів і груп;

−спроби зміни об'єктів Active Directory (тільки якщо комп'ютер з OS Windows є частиною домену).

Після того як типи реєстрованих подій задані, потрібно визначити, чи реєструвати успішні дії, невдалі спроби або обидва види подій. Відстеження успішних дій дає інформацію про те, як часто система Windows або користувачі звертаються до конкретних файлів, принтерів та інших об'єктів; ця інформація стане в нагоді для планування ресурсів.

Реєстрація невдалих спроб дозволяє виявити слабкі місця в захисті системи. Так, якщо зафіксовано кілька невдалих спроб входу в систему під певним ім'ям користувача, особливо в неробочий час, можна припустити, що неавторизований користувач намагається «зламати» систему.

34

Крім того, при виборі політики аудиту керуйтеся правилами, описаними

далі.

1.Визначте, чи потрібно відстежувати закономірності завантаження

системи.

Якщо так, то передбачте збереження журналів подій в архіві. Це дозволить контролювати розподіл завантаження за часом і заздалегідь планувати збільшення ресурсів системи.

2.Часто переглядайте журнали безпеки.

Обов'язково встановіть розклад і регулярно переглядайте журнали безпеки, так як виконання аудиту саме по собі не попереджає про слабкі місця в захисті системи.

3.Задайте інформативну і працездатну політику аудиту.

Завжди реєструйте спроби доступу до життєво важливих і конфіденційних даних. Реєструйте тільки ті події, які дають істотну інформацію. Це знижує споживання ресурсів комп'ютера до мінімуму і спрощує пошук потрібної інформації. Реєстрація великого числа подій може привести до надмірної трати системних ресурсів OS Windows.

Аудит - потужний інструмент для відстеження подій, що відбуваються на комп'ютерах в вашому офісі. Перш ніж застосовувати аудит, слід продумати вимоги до нього і встановити політику аудиту. Далі можна виконувати аудит файлів, папок і принтерів.

Конфігурація аудиту

На комп'ютерах з OS Windows політики аудиту встановлюються для кожного комп'ютера окремо.

Необхідні умови для аудиту

Для установки і адміністрування аудиту необхідно:

−мати право користувача Управління аудитом і журналом безпеки

(Manage Auditing And Security Log) на тому комп'ютері, на якому планується встановити політику аудиту або переглядати журнал безпеки. По замовчуванням в OS Windows такі права має група Адміністратори (Administrators);

−розмістити файли і папки, аудит яких планується, на томах з файловою системою NT (NTFS).

35

Налаштування аудиту

Налаштування аудиту виконується в два етапи.

1.Завдання політики аудиту. Політика аудиту дозволяє аудит об'єктів, але не ініціює аудит заданих об'єктів.

2.Завдання дозволів аудиту заданих ресурсів. Для файлів, папок, принтерів та об'єктів Active Directory призначаються конкретні події, що підлягають реєстрації. Після цього OS Windows починає відслідковувати задані події і реєструвати їх в журналі.

ЗАВДАННЯ ДЛЯ ПРАКТИЧНОГО ВИКОНАННЯ ТА ДОСЛІДЖЕННЯ

1.Дослідження основних параметрів, що можуть підлягати аудиту на локальному хості.

2.Формування пропозицій щодо аудиту ресурсів та подій в операційних системах Windows у відповідності з політекою безпеки підприємства.

3.Налаштування політики аудиту ресурсів та подій локального хосту у відповідності з політекою безпеки підприємства.

КОНТРОЛЬНІ ПИТАННЯ

1.Що розуміється під аудитом?

2.Що таке політика аудиту?

3.Де реєструється події, пов’язані з політикою аудиту?

4.Що необхідно для встановлення та адміністрування політики аудиту?

5.Порядок налаштування політики аудиту на локальному хості.

6.У яких випадках необхідний аудит системних подій?

7.Які журнали OS Windows можна переглядати засобами утілити перегляду подій?

36

Лабораторна робота №5.

ДОСЛІДЖЕННЯ СИСТЕМНОГО РЕЄСТРУ ОПЕРАЦІЙНИХ СИСТЕМ ТА ПОРЯДОК ЙОГО НАЛАШТУВАННЯ

Мета роботи: щхнайомлення з призначенням системного реєстру OS Windows, вивченя принципів побудови та функціонування засобів архівування, перегляду та корегування реєстру.

ОСНОВНІ ТЕОРЕТИЧНІ ВІДОМОСТІ

Реєстр грає ключову роль в конфігурації і управлінні Windows. Це сховище загальносистемних і призначених для користувача параметрів. Реєстр не є статичною сукупністю даних, які зберігаються на жорсткому диску. Він являє собою вікно в світ різних структур, які зберігаються в пам'яті комп'ютера і підтримуються ядром і виконавчою системою.

У OS Windows включений ряд утиліт, що дозволяють переглядати і модифікувати реєстр. Але, як правило, слід уникати прямого редагування реєстру.

В операційних системах, починаючи з Windows ХР редактор реєстру визначається утилітою Regedit.exe.

Існує також цілий ряд утиліт для роботи з реєстром з командного рядка. Наприклад, Reg.exe, дає можливість імпортувати, експортувати, створювати резервні копії та відновлювати розділи реєстру, а також порівнювати, модифікувати і видаляти розділи та параметри.

Використанняреєстру

Конфігураційні дані завжди зчитуються в наступних випадках:

-в ході завантаження система читає параметри, що вказують, які драйвери пристроїв потрібно завантажити, а різні підсистеми (на кшталт диспетчера пам'яті і диспетчера процесів) - параметри, що дозволяють їм налаштовувати себе і поведінку системи;

-при вході, Explorer та інші Windows-компоненти зчитують з реєстру переваги даного користувача, в тому числі букви підключених мережних дисків, розміщення ярликів, а також налаштування робочого столу, меню та ін.;

37

-при запуску програми зчитують загальносистемні параметри, наприклад список додаткових встановлених компонентів, інформацію про ліцензування, настройки для даного користувача (меню, розміщення панелей інструментів, список недавно відкритих документів і т. п.). Однак читання реєстру можливо і в інші моменти, скажімо, у відповідь на модифікацію його параметра або розділу. Деякі додатки ведуть моніторинг своїх конфігураційних параметрів в реєстрі і зчитують оновлені значення, як тільки виявляють зміни. Але в цілому, якщо система простоює, роботи з реєстром не повинно бути;

-вихідна структура реєстру та багато настройок за замовчуванням визначаються його прототипною версією, що поставляється на дистрибутиві Windows;

-програми установки різних додатків створюють для них налаштування за замовчуванням і настройки, що відображають вибір користувача

впроцесі установки;

-при установці драйвера пристрою підсистема Plug and Play створює розділи і параметри в реєстрі, які повідомляють диспетчеру введення-виведення, як запускати драйвер, а також створює інші параметри, що визначають роботу цього драйвера;

-коли ви змінюєте параметри програми або системи через UI, ці зміни часто зберігаються в реєстрі.

Типи даних в реєстрі

Реєстр- це база даних, структура якої аналогічна структурі логічного тому. Він містить: розділи (Keys), що нагадують дискові каталоги, і параметри (Values), які можна порівняти з файлами на диску (див. рис.5.1).

38

Рисунок 5.1 – Редактор реєстру

Розділ є контейнером, який містить інші розділи, звані підрозділами (subkeys), і / або параметри. Параметри зберігають власне дані. Розділи верхнього рівня називаються кореневими.

Угода про іменування розділів і параметрів запозичена з файлової системи. Таким чином, параметру можна присвоїти ім'я, яке зберігається в будь-якому розділі.

В параметрах зберігаються дані 15 типів, перерахованих в таблиці 5. 1. Більшість параметрів реєстру має тип REG_DWORD, REGBINARY або REG_SZ. Параметри типу REGDWORD містять числові або булеві значення, параметри типу REGBINARY - дані, що вимагають більше 32 бітів, або довільні виконавчі дані (наприклад зашифровані паролі), а параметри типу REG_SZ - рядки (в Unicode-форматі), які можуть представляти такі елементи , як імена, шляхи, типи і імена файлів.

39

Таблиця 5. 1. Типи параметрів реєстру (червоним відзначено більшість параметрів реєстру)