- •Информационная безопасность
- •09.03.03 «Прикладная информатика»
- •Введение
- •Лабораторная работа №1 Изучение разрешений ntfs и разрешений на общий ресурс в операционной системе Windows 7.
- •Лабораторная работа №2 Изучение аудита в операционной системе Windows 7.
- •Лабораторная работа №3 Установка и настройка центра сертификации на базе служб сертификации Active Directory Windows 2008 Server.
- •Лабораторная работа №4 Настройка шифрования и подписи документов в Windows 7.
- •Лабораторная работа №5 Настройка vpn туннеля .
- •Библиографический список рекомендуемой литературы
- •Информационная безопасность
- •09.03.03 «Прикладная информатика»
- •394006 Воронеж, ул. 20-летия Октября, 84
Лабораторная работа №2 Изучение аудита в операционной системе Windows 7.
Цель работы: Изучить возможности аудита файловой системы NTFS. Изучить методологию анализа журнала безопасности ОС Windows 7.
Технические и программные средства: Oracle VM Virtual Box, виртуальная машина под управлением Windows 7.
Краткие теоретические сведения.
Политика контроля доступа через систему безопасности применяется к трем группам контроля: аутентификации, авторизации и аудиту.
Аутентификация и авторизация образуют систему так называемого превентивного контроля. Аудит называют детективным контролем – он оставляет след, который может быть изучен с целью определения, была ли нарушена политика безопасности. Аудиторский след может выступать в качестве судебной улики. Информация аудита является дополнительным источником информации для диагностики неполадок, например, неоправданного отказа в доступе. Наконец, аудит необходим для получения сертификации системы менеджмента качества, например, ISO 9001.
Подсистема аудита Windows реализована в подсистеме локальной аутентификации (Local security authentication system), который в списке процессов фигурирует как lsass.exe, а также в справочном мониторе безопасности (Security Reference Monitor) – компоненте ядра ОС Windows.
Для настройки аудита и получения его результатов используются следующие инструменты:
Редактор управления групповой политики – оснастка консоли MMC.
Системный список контроля доступа (System Access Control List - SACL), элемент дескриптора безопасности конкретного объекта, доступный для редактирования с помощью вкладки Безопасность – Дополнительно – Аудит.
Утилита командной строки AuditPol.exe.
Журнал безопасности Windows, доступный с помощью оснастки MMC Просмотр событий.
Для аудита доступа к таким объектам как файлы и папки, необходимо следующее:
Политика Аудит доступа к объектам (Audit Object Access) должна быть включена и отконфигурирован для аудита успешных и неуспешных событий.
Системный список контроля доступа (SACL) объекта необходимо сконфигурировать для аудита успеха и (или) отказа доступа.
При настройке аудита на сервере, входящем в домен, необходимо помнить, что политика аудита определяется именно результирующей политикой, которую можно проверить с помощью оснастки MMC rsop.msc или утилиты командной строки gpresult.exe.
Практические задания
Задание 1. Использование редактора групповой политики для настройки аудита.
Нажмите на кнопку Поиск, в поле Начать поиск введите MMC и нажмите клавишу ВВОД , чтобы открыть MMC (Microsoft Management Console). Если User Account Control (UAC) выводит диалоговые подсказки нажмите Да. На Файл выберите пункт Добавить / удалить оснастку. В диалоговом окне Добавить или удалить оснастку нажмите кнопку Редактор объектов групповой политики и нажмите кнопку Добавить .
В диалоговом окне Выбор объекта групповой политики нажмите кнопку Обзор. Для редактирования объекта локальной групповой политики ,щёлкните Этот компьютер.
Нажмите кнопку Готово. Нажмите OK , чтобы открыть Редактор локальной групповой политики.
Дважды щелкните пункт Конфигурация компьютера, дважды щелкните пункт Конфигурация Windows, а затем дважды щелкните Параметры безопасности. Дважды щелкните пункт Локальные политики, а затем выберите пункт Параметры безопасности.
Дважды щелкните пункт Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии), а затем щелкните Определить этот параметр политики.
Выберите вариант Включен, а затем нажмите кнопку ОК.
Дважды щелкните пункт Конфигурация компьютера, дважды щелкните пункт Конфигурация Windows дважды щелкните пункт Параметры безопасности, дважды щелкните пункт Конфигурация расширенной политики аудита, а затем дважды щелкните Политики аудита системы.
Дважды щелкните пункт Доступ к объекту, а затем дважды щелкните пункт Аудит файловой системы.
Установите флажок Настроить следующие события, а затем установите оба флажка Успех и Отказ.
Нажмите кнопку ОК.
Для применения параметров групповой политики запустите в командной строке команду gpupdate.
Аудит каких действий Вы активировали? Групповую политику какого объекта (домена, сайта, локального компьютера) Вы для этого использовали?
Задание 2. Настройка параметров аудита папок и файлов в файловой системе NTFS.
Откройте окно свойств папки D:\Shares\GroupShares\Accounting и перейдите на вкладку Безопасность
Щелкните кнопку Изменить, а затем Добавить
Введите имя пользователя Trainee1 и щелкните OK.
Установите флажок Запретить напротив разрешения Полный доступ.
Последовательно щелкните кнопки Применить и Да, чтобы подтвердить запрет разрешения. Щелкните ОК, чтобы закрыть диалоговое окно Разрешения.
Щелкните Дополнительно. Перейдите на вкладку Аудит, щелкните Изменить, а затем Добавить.
Введите имя Trainee1 и щелкните OK.
В диалоговом окне Элементы аудита установите флажок Отказ напротив разрешения Полный доступ.
Закройте все диалоговые окна.
Какие результирующие права у пользователя Trainee1 на папку Accounting?
Какие результирующие права у пользователя Trainee2 на папку Accounting?
Какие действия может производить с текстовым файлом в этой папке один и второй пользователь?
Задание 3. Генерирование событий аудита.
Попробуйте получить доступ к папке D:\Shares\GroupShares\Accounting от имени пользователя Trainee1 и пользователя Trainee2.
Зайдите в систему пользователем Trainee1? Создайте текстовый файл на рабочем столе и назовите его TestAudit.txt.
Попробуйте скопировать его в каталог Accounting.
После чего зайдите пользователем Trainee2 и проделайте те же действия.
Удалось ли пользователям Trainee1 и Trainee2 скопировать файл в папку Accounting? Почему?
Задание 4. Анализ событий аудита с помощью журнала безопасности Windows.
Зайдите в систему как локальный администратор.
Нажмите Пуск, правой кнопкой мыши щелкните Компьютер и выберите в выпадающем меню Управление. Запустится консоль управление компьютера.
В группе Служебные программы откройте оснастку Просмотр событий
Зайдите в Журналы Windows, затем Безопасность.
Для фильтрации журнала и ограничения области поиска на панели Действия щелкните ссылку Фильтр текущего журнала.
Отконфигурируйте фильтр для ограничения поиска, используя следующие параметры: события за последний час с источником событий Microsoft Windows security auditing и категорией задачи Файловая система (рис.1).
Щелкните OK
Можете ли Вы быстро локализовать события, генерируемые при попытках пользователя Trainee1 получить доступ к папке Accounting?
Чтобы локализовать события этой папки, экспортировав журнал в инструмент анализа журналов или текстовый файл.
На панели Действия щелкните ссылку Сохранить файл отфильтрованного журнала как, выберите место расположения файла, например, Рабочий стол.
Щелкните раскрывающийся список Тип файла и выберите тип Текст.
В текстовой поле введите имя Экспорт журнала аудита.
Щелкните кнопку Сохранить
Откройте полученный текстовый файл в программе Блокнот и выполните поиск по ключевым словам Accounting.
Какие события были сгенерированы в результате попыток доступа к папке Accounting пользователей Trainee1 и Trainee2?
Рисунок 1. Фильтрация журнала безопасности для извлечения последних событий файловой системы.
Контрольные вопросы
Дайте определение дескриптора защиты, из каких элементов он состоит?
Что такой системный список контроля доступа? Какая информация в нем хранится?
Перечислите все этапы активации аудита доступа к файлу или папке NTFS.
Какие инструменты используются для настройки аудита и получения его результатов? Перечислите функции каждого из них.
Каким образом можно применить настройки групповой политики по активации аудита?
В каких случаях необходим аудит папок и файлов?