Лабораторная работа №2 Изучение аудита в операционной системе Windows 7.

Цель работы: Изучить возможности аудита файловой системы NTFS. Изучить методологию анализа журнала безопасности ОС Windows 7.

Технические и программные средства: Oracle VM Virtual Box, виртуальная машина под управлением Windows 7.

Краткие теоретические сведения.

Политика контроля доступа через систему безопасности применяется к трем группам контроля: аутентификации, авторизации и аудиту.

Аутентификация и авторизация образуют систему так называемого превентивного контроля. Аудит называют детективным контролем – он оставляет след, который может быть изучен с целью определения, была ли нарушена политика безопасности. Аудиторский след может выступать в качестве судебной улики. Информация аудита является дополнительным источником информации для диагностики неполадок, например, неоправданного отказа в доступе. Наконец, аудит необходим для получения сертификации системы менеджмента качества, например, ISO 9001.

Подсистема аудита Windows реализована в подсистеме локальной аутентификации (Local security authentication system), который в списке процессов фигурирует как lsass.exe, а также в справочном мониторе безопасности (Security Reference Monitor) – компоненте ядра ОС Windows.

Для настройки аудита и получения его результатов используются следующие инструменты:

1. Редактор управления групповой политики – оснастка консоли MMC.

2. Системный список контроля доступа (System Access Control List - SACL), элемент дескриптора безопасности конкретного объекта, доступный для редактирования с помощью вкладки Безопасность – Дополнительно – Аудит.

3. Утилита командной строки AuditPol.exe.

4. Журнал безопасности Windows, доступный с помощью оснастки MMC Просмотр событий.

Для аудита доступа к таким объектам как файлы и папки, необходимо следующее:

1. Политика Аудит доступа к объектам (Audit Object Access) должна быть включена и отконфигурирован для аудита успешных и неуспешных событий.

2. Системный список контроля доступа (SACL) объекта необходимо сконфигурировать для аудита успеха и (или) отказа доступа.

При настройке аудита на сервере, входящем в домен, необходимо помнить, что политика аудита определяется именно результирующей политикой, которую можно проверить с помощью оснастки MMC rsop.msc или утилиты командной строки gpresult.exe.

Практические задания

Задание 1. Использование редактора групповой политики для настройки аудита.

1. Нажмите на кнопку Поиск, в поле Начать поиск введите MMC и нажмите клавишу ВВОД , чтобы открыть MMC (Microsoft Management Console). Если User Account Control (UAC) выводит диалоговые подсказки нажмите Да. На Файл выберите пункт Добавить / удалить оснастку. В диалоговом окне Добавить или удалить оснастку нажмите кнопку Редактор объектов групповой политики и нажмите кнопку Добавить .

2. В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. Для редактирования объекта локальной групповой политики ,щёлкните Этот компьютер.

3. Нажмите кнопку Готово. Нажмите OK , чтобы открыть Редактор локальной групповой политики.

4. Дважды щелкните пункт Конфигурация компьютера, дважды щелкните пункт Конфигурация Windows, а затем дважды щелкните Параметры безопасности. Дважды щелкните пункт Локальные политики, а затем выберите пункт Параметры безопасности.

5. Дважды щелкните пункт Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии), а затем щелкните Определить этот параметр политики.

6. Выберите вариант Включен, а затем нажмите кнопку ОК.

7. Дважды щелкните пункт Конфигурация компьютера, дважды щелкните пункт Конфигурация Windows дважды щелкните пункт Параметры безопасности, дважды щелкните пункт Конфигурация расширенной политики аудита, а затем дважды щелкните Политики аудита системы.

8. Дважды щелкните пункт Доступ к объекту, а затем дважды щелкните пункт Аудит файловой системы.

9. Установите флажок Настроить следующие события, а затем установите оба флажка Успех и Отказ.

10. Нажмите кнопку ОК.

11. Для применения параметров групповой политики запустите в командной строке команду gpupdate.

Аудит каких действий Вы активировали? Групповую политику какого объекта (домена, сайта, локального компьютера) Вы для этого использовали?

Задание 2. Настройка параметров аудита папок и файлов в файловой системе NTFS.

1. Откройте окно свойств папки D:\Shares\GroupShares\Accounting и перейдите на вкладку Безопасность

2. Щелкните кнопку Изменить, а затем Добавить

3. Введите имя пользователя Trainee1 и щелкните OK.

4. Установите флажок Запретить напротив разрешения Полный доступ.

5. Последовательно щелкните кнопки Применить и Да, чтобы подтвердить запрет разрешения. Щелкните ОК, чтобы закрыть диалоговое окно Разрешения.

6. Щелкните Дополнительно. Перейдите на вкладку Аудит, щелкните Изменить, а затем Добавить.

7. Введите имя Trainee1 и щелкните OK.

8. В диалоговом окне Элементы аудита установите флажок Отказ напротив разрешения Полный доступ.

9. Закройте все диалоговые окна.

Какие результирующие права у пользователя Trainee1 на папку Accounting?

Какие результирующие права у пользователя Trainee2 на папку Accounting?

Какие действия может производить с текстовым файлом в этой папке один и второй пользователь?

Задание 3. Генерирование событий аудита.

Попробуйте получить доступ к папке D:\Shares\GroupShares\Accounting от имени пользователя Trainee1 и пользователя Trainee2.

1. Зайдите в систему пользователем Trainee1? Создайте текстовый файл на рабочем столе и назовите его TestAudit.txt.

2. Попробуйте скопировать его в каталог Accounting.

3. После чего зайдите пользователем Trainee2 и проделайте те же действия.

Удалось ли пользователям Trainee1 и Trainee2 скопировать файл в папку Accounting? Почему?

Задание 4. Анализ событий аудита с помощью журнала безопасности Windows.

1. Зайдите в систему как локальный администратор.

2. Нажмите Пуск, правой кнопкой мыши щелкните Компьютер и выберите в выпадающем меню Управление. Запустится консоль управление компьютера.

3. В группе Служебные программы откройте оснастку Просмотр событий

4. Зайдите в Журналы Windows, затем Безопасность.

5. Для фильтрации журнала и ограничения области поиска на панели Действия щелкните ссылку Фильтр текущего журнала.

6. Отконфигурируйте фильтр для ограничения поиска, используя следующие параметры: события за последний час с источником событий Microsoft Windows security auditing и категорией задачи Файловая система (рис.1).

7. Щелкните OK

Можете ли Вы быстро локализовать события, генерируемые при попытках пользователя Trainee1 получить доступ к папке Accounting?

8. Чтобы локализовать события этой папки, экспортировав журнал в инструмент анализа журналов или текстовый файл.

9. На панели Действия щелкните ссылку Сохранить файл отфильтрованного журнала как, выберите место расположения файла, например, Рабочий стол.

10. Щелкните раскрывающийся список Тип файла и выберите тип Текст.

11. В текстовой поле введите имя Экспорт журнала аудита.

12. Щелкните кнопку Сохранить

13. Откройте полученный текстовый файл в программе Блокнот и выполните поиск по ключевым словам Accounting.

Какие события были сгенерированы в результате попыток доступа к папке Accounting пользователей Trainee1 и Trainee2?

Рисунок 1. Фильтрация журнала безопасности для извлечения последних событий файловой системы.

Контрольные вопросы

1. Дайте определение дескриптора защиты, из каких элементов он состоит?

2. Что такой системный список контроля доступа? Какая информация в нем хранится?

3. Перечислите все этапы активации аудита доступа к файлу или папке NTFS.

4. Какие инструменты используются для настройки аудита и получения его результатов? Перечислите функции каждого из них.

5. Каким образом можно применить настройки групповой политики по активации аудита?

6. В каких случаях необходим аудит папок и файлов?