Министерство науки и высшего образования Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

Аудит событий безопасности операционной системы

Отчет по лабораторной работе №7

по дисциплине «Безопасность операционных систем»

Вариант 5

Студент гр. 739-1

Климанов М. Д.

23.11.2021

Руководитель

Преподаватель кафедры

КИБЭВС

__________Мосейчук В.А

__.__.2021

Томск 2021

1 Введение

Целью данной работы является знакомство с интерфейсом управления подсистемой аудита безопасности и параметрами политики аудита на примере операционной системы Windows XP.

Задание на лабораторную работу заключается в том, что нужно импортировать журнал безопасности в соответствии с 5 вариантом. Проанализировать журнал безопасности согласно распределению вариантов и определить виновных.

2 Ход работы

2.1 Политика аудита

Настройка политики аудита происходит при помощи оснастки «Локальная политика безопасности».

Для начала нужно войти в операционную систему под учётной записью «Администратор». Открыть оснастку «Локальная политика безопасности» («Пуск – Панель управления – Администрирование») и выбрать раздел «Локальные политики – Политика аудита» (рисунок 2.1).

Рисунок 2.1 – Политика аудита Windows XP

В политике аудита представлен набор параметров, соответствующих различным категориям событий безопасности. В «Свойствах» каждого из параметров возможно включение фиксации событий, относящихся к соответствующей категории. Для этого нужно открыть параметр политики аудита «Аудит входа в систему» (рисунок 2.2). Включение аудита происходит по следующим типам событий:

− «Успех» – фиксируются события, осуществление которых было разрешено пользователю;

− «Отказ» – фиксируются события, осуществление которых было запрещено пользователю.

Рисунок 2.2 – Настройки параметра «Аудит входа в систему»

2.2 Аудит входа/выхода пользователей

Параметр «Аудит входа в систему» включает фиксацию каждой попытки входа пользователя в систему или выхода из неё на данном компьютере.

Необходимо включить оба типа событий («Успех» и «Отказ») для параметров «Аудит входа в систему» и «Аудит событий входа в систему» (рисунки 2.3 – 2.4).

Далее нужно завершить сеанс текущего пользователя. Необходимо ввести неверный пароль при входе в операционную систему, чтобы сгенерировать событие типа «Отказ» (рисунок 2.5).

Затем требуется войти под учётной записью «Администратор» и открыть журнал «Безопасность» оснастки «Просмотр событий» (рисунок 2.6).

Рисунок 2.3 – Свойства: Аудит входа в систему

Рисунок 2.4 – Свойства: Аудит событий входа в систему

Рисунок 2.5 – Ошибка входа в систему

Рисунок 2.6 – Журнал «Безопасность»

В журнале «Безопасность» надо открыть запись категории «Вход/выход» типа «Аудит отказов». Данная запись описывает событие, сгенерированное при вводе неправильного пароля (рисунок 2.7). Так как пользователь ещё не прошёл аутентификацию, событие было сгенерировано от имени пользователя «System». В записи о событии указывается имя пользователя, использовавшееся при осуществлении неудачной попытки входа в систему, и тип входа. Код данного события – 529.

Рисунок 2.7 – Запись аудита об отказе входа в операционную систему

Далее нужно открыть запись категории «Вход/выход» типа «Аудит успехов» с кодом 528. Данная запись описывает событие, сгенерированное при удачном входе в операционную систему (рисунок 2.8).

Рисунок 2.8 – Запись аудита об успешном входе в операционную систему

Затем необходимо открыть записи категории «Вход учётной записи» (рисунок 2.9). События имеют один код – 680. Дополнительно в записи указывается механизм аутентификации – Microsoft Authentication Package.

Рисунок 2.9 – Запись аудита об отказе входа учётной записи