3-1 Основи побудови та захисту сучасних операційних систем / Защита_операционных_систем_КНМЗ
.pdf
Рисунок 2 - Вікно Властивості: аудит подій входу в систему (Audit Account Logon Events Properties)
14.Встановіть прапорець Успіх (Success), прапорець Відмова (Failure) або обидва прапорця. Якщо обраний прапорець Успіх (Success), то включений аудитуспішних спроб. Якщо обраний прапорець Відмова (Failure), то включений аудит невдалих спроб.
15.Клацніть ОК.
16.перезапустіть комп'ютер
Після налаштування параметрів політики аудиту майте на увазі, що зміни в політиці аудиту комп'ютера вступають в силу тільки після перезавантаження.
Порада: Команда gpupdate дозволяє оновлювати параметри як локальної групової політики, так і політики для об'єктів Active Directory, включаючи параметри безпеки. Щоб оновити параметри на локальному комп'ютері, увійдіть в режим командного рядка, наберіть gpupdate і
натисніть Enter. Для отримання більш повного опису команди gpupdate в
меню Пуск (Start) натисніть Довідка та підтримка (Help And Support) і використовуйте пошук для знаходження рядка gpupdate.
Аудит доступу до файлів і папок
Якщо потрібно виявити слабкі місця в захисті корпоративної мережі, можна встановити аудит файлів і папок, розташованих на розділах NTFS. Для аудиту доступу користувачів до файлів і папок насамперед слід налаштувати політику аудиту на реєстрацію доступу до об'єктів, в тому числі файлів і папок.
Під час налаштування політики аудиту на реєстрацію доступу до об'єктів включається аудит конкретних файлів і папок. При цьому також вказується, які види доступу, користувачі і групи підлягають аудиту.
Щоб включити аудит конкретних файлів або папок, потрібно виконати дії, описані далі.
1.У меню Пуск (Start) натисніть правою клавішею миші Мій комп’ютер (My Computer) і Виберіть пункт меню Провідник (Explore).
2.Клацніть правою клавішею миші файл або папку, для якої потрібно включити аудит, і виберіть пункт контекстного меню Властивості (Properties).
3.На вкладці Безпека (Security) діалогового вікна Властивості (Properties) клацніть кнопку Додатково (Advanced).
Порада: Якщо в діалоговому вікні Властивості (Properties) немає вкладки Безпека (Security), з'ясуйте, чи знаходяться вибрані файли і папки в розділі, отформатованом як NTFS? Якщо комп'ютер не входить в домен, чи вимкнений простий спільний доступ до файлів (Simple File Sharing)? Для виключення простого обміну файлами клацніть Пуск (Start), клацніть правою кнопкою миші Мій комп'ютер (My Computer), потім клацніть пункт меню Провідник (Explore). У меню Сервіс (Tools) виберіть пункт
Властивості папки (Folder Options). На вкладці Вид (View) зніміть прапорець Простий спільний доступ до файлів (рекомендовано) [Simple File Sharing (Recommended)] і клацніть ОК.
4.На вкладці Аудит (Auditing) в діалоговому вікні Додаткові параметри безпеки (Advanced Security Settings For Folder Name) клацніть кнопку Додати(Add), виберіть користувачів, для яких потрібно увімкнути аудит доступу до файлів і папок, і клацніть ОК.
5.У діалоговому вікні Елемент аудиту для ім'я _ папки (Audit Entry For folder __ name) встановіть прапорець Успіх (Successful), Відмова (Failed) абообидва прапорця, щоб вказати тип подій для аудиту. На рис. 3
показаний перелік подій, аудит яких можливий для папок. У таблиці 2 перераховані дії користувачів, що викликають відповідні події, що допоможе визначити, в яких випадках слід включати аудит цих подій.
Рисунок 3 - Події, аудит яких можливий для папок
Таблиця 2. Події для файлів і папок, що викликаються діями користувачів.
Дія користувача, що викликало
Подія
подію
Перехід в папку / Виконання файлуЗапуск програми або отримання (TraverseFolder / Execute File) доступу до папки при зміні поточної
папки
Отримання списку файлів / ЧитанняПерегляд вмісту файлу або папки
даних (ListFolder / Read Data) |
|
|
|
Читання атрибутів (Read Attributes) Перегляд атрибутів файлу або папки |
|
|
|
Читання |
розширенихПерегляд атрибутів файлу або папки |
атрибутів(ReadExtended Attributes) |
|
Дія користувача, що викликало
Подія
подію
Створення |
файлів |
/ |
Запис |
Зміна вмісту |
файлу |
або створення |
||
даних(CreateFiles / Write Data) |
|
нових файлів в папці |
|
|
||||
|
|
|
|
|
||||
Створення |
папок |
/ |
Додавання |
Створення папок всередині папок |
||||
даних(CreateFolders / Append Data) |
|
|
|
|
||||
|
|
|||||||
Запис атрибутів (Write Attributes) |
Зміна атрибутів файлу або папки |
|||||||
|
|
|
|
|||||
Запис розширених |
атрибутів |
(WriteЗміна атрибутів файлу або папки |
||||||
Extended Attributes) |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Видалення підпапок і файлів (DeleteВидалення |
файлу |
або |
папки |
|||||
Subfolders And Files) |
|
|
|
всередині папки |
|
|
||
|
|
|
|
|
|
|||
Видалення (Delete) |
|
|
|
Видалення файлу або папки |
|
|||
|
|
|||||||
Читання дозволів (Read Permissions) |
Перегляд прав власника файлу на |
|||||||
|
|
|
|
|
файл або папку |
|
|
|
|
|
|||||||
Зміна дозволів (Change Permissions) |
Зміна прав доступу до файлу або |
|||||||
|
|
|
|
|
папці |
|
|
|
|
|
|||||||
Зміна власника (Take Ownership) |
Змінити право власника на файл або |
|||||||
|
|
|
|
|
папку |
|
|
|
|
|
|
|
|
|
|
|
|
6.Клацніть OK, щоб повернутися в діалогове вікно Додаткові параметри безпеки (Advanced Security Settings For folder name). За замовчуванням всі зміни параметрів аудиту, виконані для батьківської папки, відносяться також і до всіх дочірнім папок і всіх файлів в батьківській і дочірніх папках.
7.Щоб заборонити зміни параметрів аудиту дли поточної папки при зміні параметрів батьківської папки, зніміть прапорець Наслідувати від
батьківського об'єкта: Параметри аудиту, для дочірніх об'єктів (Inherit From Parent The Auditing Entries That Apply To Child Objects).
8.Клацніть ОК.
Аудит доступу до принтерів
При необхідності здійснювати контроль за використанням конкретних принтерів включите аудит доступу до принтерів. Щоб включити аудит доступу до принтерів, в політиці аудиту налаштуйте аудит доступу до об'єктів, що включає принтери.
Увімкніть аудит конкретних принтерів і вкажіть, які види доступу реєструвати і які користувачі матимуть доступ. Для вибраного принтера аудит включається в тій же послідовності, що і при установці параметрів аудиту файлів і папок.
1.В меню Пуск (Start) натисніть Панель управління (Control Panel), за тим - Принтери і інше обладнання (Printers And Other Hardware).
2.Виберіть Принтери і факси (Pr inters And Faxes). Клацніть правою клавішею миші значок принтера, для якого потрібно включити аудит,
івиберіть пункт меню Властивості (Properties).
3.У діалоговому вікні Властивості (Properties) для обраного принтера на вкладці Безпека (Security) клацніть Додатково (Advanced). З'явиться діалогове вікно Додаткові параметри безпеки (Advanced Security Settings).
4.На вкладці Аудит (Auditing) клацніть кнопку Додати (Add), виберіть відповідних користувачів або відповідні групи, для яких потрібно включити аудит доступу до принте рам, і клацніть ОК.
5.У діалоговому вікні Елемент аудиту (Auditing Entry) в поле зі списком Застосувати (Apply Onto) виберіть область дії обраний них параметрів аудиту. В полі Застосувати (Apply Onto) для принтера можна, можливо вибрати Тільки для цього принтера (This Printer Only), Тільки для документів(Documents), Для цього принтера і документів (This Printer And Documents).
6.В поле Доступ (Access) встановіть прапорець Успіх (Successful), Відмова (Failed) або обидва прапорця, в залежно від подій, аудит яких потрібно (рис. 4).
7.Щоб вийти, натисніть ОК у відповідних діалогових вікнах.
Рисунок 4 - Події, аудит яких можливий для принтерів
У таблиці 3 перераховані події, аудит яких можливий для принтерів, і відповідні цим подіям дії користувачів.
|
|
|
|
|
Таблиця 3. |
Події для принтерів, викликані діями користувачів |
|
||||
|
|
|
|||
Подія |
|
Дія користувача, що викликало подію |
|||
|
|
|
|||
|
|
|
|||
Друк (Print) |
|
Зміна параметрів принтера, припинення друку, |
|||
|
|
дозвіл |
спільного |
використання |
принтера, |
|
|
видалення принтера з системи |
|
||
|
|
|
|||
Управління |
|
Зміна параметрів принтера, припинення друку, |
|||
принтерами(Manage Printers) |
дозвіл |
спільного |
використання |
принтера, |
|
|
|
видалення принтера з системи |
|
||
|
|
|
|||
Управління |
|
Зміна параметрів завдань; припинення або |
|||
документами(Manage |
|
продовження друку, зміна порядкового номера в |
|||
Documents) |
|
черзі або видалення документів; дозвіл |
|||
|
|
спільного використання принтера; зміна |
|||
|
|
параметрів принтера |
|
|
|
|
|
|
|
||
Читання дозволів |
(ReadПерегляд прав доступу до принтера |
|
|||
Permissions) |
|
|
|
|
|
|
|
|
|
|
|
|
Подія |
|
Дія користувача, що викликало подію |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Зміна |
дозволів |
(ChangeЗміна прав доступу до принтера |
|
|
Permissions) |
|
|
|
|
|
|
|
|
|
Зміна |
власника |
(TakeЗміна власника принтера |
|
|
Ownership) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3. ВИКОРИСТАННЯ УТИЛІТИ ПЕРЕГЛЯД ПОДІЙ (EVENT VIEWER)
Утиліта Перегляд подій (Event Viewer) застосовується для вирішення різних завдань адміністрування, в тому числі для перегляду журналів аудиту, створених в результаті установки політики аудиту і оновлюваних при виникненні заданих подій.
Утиліту Перегляд подій (Event Viewer) також використовують для перегляду вмісту файлів журналу безпеки і пошуку конкретних подій в файлах журналу.
Призначення журналів Windows
Утиліта Перегляд подій (Event Viewer) необхідна для перегляду інформації, що міститься в журналах (logs) Windows. За замовчуванням ця утиліта дозволяє переглядати три журнали (таблиця 4).
|
Таблиця 4. |
|
Журнали OS Windows |
|
|
Журнал |
опис |
|
|
|
|
Журнал |
Зберігає повідомлення про помилки, попередження або |
додатків |
інформацію, що генеруються додатками, наприклад СУБД або |
|
програмою електронної пошти. Події, що реєструються в журналі, |
|
задаються розробниками відповідних програм |
|
|
Журнал |
Містить інформацію про успішні або невдалі спроби виконання |
безпеки |
операцій, аудит яких включено. Ці події реєструються Windows |
|
відповідно до політики аудиту |
|
|
Системний |
Зберігає повідомлення про помилки, попередження і дані, що |
журнал |
генеруються OS Windows. Події, що реєструються в журналі, |
|
задаються в Windows |
|
|
|
|
У журналі безпеки (security log) зберігається інформація про події, які відслідковуються політикою аудиту, наприклад невдалі і успішні спроби реєстрації в системі. Щоб переглянути журнал безпеки, виконайте дії, описані далі.
1.Клацніть Пуск ( Start ), Панель управління ( Control Panel ), клацніть продуктивність і обслуговування ( Performance And Maintenance ) і Адміністрування( Administrative Tools ), потім двічі клацніть ярлик Перегляд подій ( Event Viewer ).
2.У дереві консолі утиліти перегляду подій клацніть Безпека (Security). В правою панелі відобразиться перелік елементів журналу з коротким описомкожного елемента , як показано на рис . 5.
Рисунок 5 - Відображення журналу безпеки у вікні утиліти Перегляд подій (Event Viewer)
Успішні спроби умовно позначені значком ключа, а невдалі - значком замка. Крім того, вказані дата і час події,. категорія події і користувач, дія якого викликало дану подію.
У колонці Категорія (Category) відображається тип події, наприклад доступ до об'єкта, управління обліковими записами, доступ до служби каталогів або спроби реєстрації в системі.
3. Щоб переглянути додаткову інформацію про будь-яку подію, клацніть назву події і в меню Дія ( Action ) натисніть пункт Властивості (Properties). OSWindows реєструє події в журналі безпеки того комп'ютера , на якому подія сталася . Ці події можна, можливо переглядати з будь-якого комп'ютера при наявності прав адміністратора на комп'ютері, на якому
відбулося подія . Щоб переглянути журнал безпеки віддаленого комп'ютера , відкрийте консольММС і виберіть перегляд подій віддаленого комп'ютера .
Пошук подій
При першому запуску утиліти Перегляд подій (Event Viewer) автоматично відображаються всі події, зареєстровані в обраному журналі. Щоб показати потрібні події, можна використовувати команду Фільтр (Filter). Крім того, для пошуку конкретних подій застосовують команду Знайти (Find).
Щоб виконати відбір або пошук подій, запустіть утиліту Перегляд подій (Event Viewer), потім в меню Вид (View) виберіть пункт Фільтр (Filter) або Знайти(Find). Параметри в вікнах фільтра і пошуку практично не відрізняються. На рис. 6 показані параметри вкладки Фільтр (Filter).
Рисунок 6 - Вкладка Фільтр (Filter) вікна Властивості безпеку (System Properties) утиліти Перегляд подій (Event Viewer).
У таблиці 5 перераховані параметри вкладки Фільтр (Filter), що використовуються для відбору потрібних подій, і команди Знайти (Find), що застосовуються для пошуку потрібних подій.
Таблиця 5. Параметри Параметр для фільтрації та пошуку подій
|
Параметр |
|
Опис |
|
|
||
|
|
||
Типи подій (Event Types) |
Типи подій для перегляду |
||
|
|
||
Джерело події (Event Source) |
Програма або драйвер компонента, що |
||
|
|
|
викликав подія |
|
|
|
|
Категорія (Category) |
|
Тип події, наприклад спроба входу, виходу або |
|
|
|
|
системна подія |
|
|
|
|
Код події (Event ID) |
|
Ідентифікаційний номер події. Він спрощує |
|
|
|
|
співробітникам служби технічної підтримки |
|
|
|
контроль подій |
|
|
|
|
Користувач (User) |
|
Ім'я облікового запису користувача |
|
|
|
|
|
Комп'ютер (Computer) |
|
ім'я комп'ютера |
|
|
|
||
«С» і «До » (From and To) |
Інтервал часу, за який ви хочете переглянути |
||
|
|
|
події [тільки на вкладці Фільтр (Filter)] |
|
|
|
|
Відновити |
значення |
заСкасовує всі зміни на цій вкладці і відновлює |
|
замовчуванням |
(Restoreзначення за замовчуванням |
||
Defaults) |
|
|
|
|
|
|
|
Опис (Description) |
|
Текстовий фрагмент в описі події (тільки в |
|
|
|
|
діалоговому вікні Знайти (Find) |
|
|
|
|
Напрямок |
пошуку |
(SearchНапрямок, в якому програма пошуку буде |
|
Direction) |
|
|
переглядати журнал (вгору або вниз; тільки в |
|
|
|
діалоговому вікні Знайти (Find) |
|
|
|
|
Знайти далі (Find Next) |
|
Програма пошуку знаходить і відображає |
|
|
|
|
наступний запис, що задовольняє умовам |
|
|
|
пошуку |
|
|
|
|
|
|
|
|
Управління журналами аудиту
Порівнюючи дані журналів, записані в різний час, можна виявляти закономірності в роботі Windows. Їх аналіз дозволяє визначати завантаженість ресурсів і планувати їх розширення. Крім того, в журналах фіксуються спроби неавторизованого використання ресурсів. Windows