- •Аудит событий безопасности операционной системы
- •1 Введение
- •2 Ход работы
- •2.1 Политика аудита
- •2.2 Аудит входа/выхода пользователей
- •2.3 Аудит событий, связанных с администрированием
- •2.4 Аудит событий, связанных с работой операционной системы
- •2.5 Аудит доступа пользователей к ресурсам
- •2.6 Управление журналом аудита
- •2.7 Индивидуальное задание
- •3 Заключение
2.6 Управление журналом аудита
Сначала нужно войти под учётной записью «user» и попытаться открыть журнал аудита. Группе «Пользователи», в которую входит «user», по умолчанию запрещена работа с журналом аудита, поэтому операционная система сгенерирует ошибку доступа (рисунок 2.40).
Рисунок 2.40 – Ошибка доступа к журналу аудита
Затем необходимо запустить от имени учётной записи «Администратор» оснастку «Локальная политика безопасности» и добавьте пользователя «user» в перечень учётных записей параметра «Управление аудитом и журналом безопасности» (рисунок 2.41). Под учётной записью «user» нужно проверить наличие прав для работы с журналом аудита (рисунок 2.42).
Рисунок 2.41 – Параметр управления доступом к журналу безопасности
Рисунок 2.42 – Доступ к журналу аудита у пользователя «user»
Далее нужно войти под учётной записью «Администратор». В меню журнала аудита выбрать «Вид» – «Фильтр» и настроить фильтр в соответствии с рисунком 2.43. После применения фильтра в журнале останутся записи только об удачных и неудачных попытках входа под учётной записью «user» (рисунок 2.44).
Рисунок 2.43 – Настройка фильтрации записей журнала безопасности
Рисунок 2.44 – Вид журнала аудита после фильтрации
При поиске объекта с известным именем лучше использовать функцию поиска: «Вид» – «Найти» (рисунок 2.45), введя имя (часть имени) файла.
В контекстном меню журнала «Безопасность» требуется выбрать «Свойства». В появившейся вкладке можно установить максимальный размер журнала и действия в случае его переполнения (рисунок 2.46).
Рисунок 2.45 – Настройка поиска записей журнала безопасности
Рисунок 2.46 – Настройка работы журнала безопасности
Для установки запрета работы пользователя в случае переполнении журнала необходимо включить параметр «Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности» в разделе «Параметры безопасности» локальной групповой политики (рисунок 2.47).
Рисунок 2.47 – Настройка действий при переполнении журнала безопасности
Затем необходимо перезагрузить операционную систему и войти под учётной записью «Администратор». Нужно генерировать новые записи аудита до тех пор, пока не произойдёт заполнение журнала и перезагрузка системы. После этого требуется войти в систему под учётной записью «Администратор», сохранить журнал (рисунок 2.48) и очистить его.
Рисунок 2.48 – Очистка журнала аудита
2.7 Индивидуальное задание
В соответствии с 5 вариантом нужно проанализировать журнал безопасности согласно распределению вариантов и определить виновных.
В сетевых ресурсах предприятия дополнительной мерой защиты при обмене значимыми электронными документами между сотрудниками является установка пароля. Секретарь оповестила администратора безопасности о недейственности таких мер защиты, приведя в пример редактированный документ «Отчет деятельности сотрудников на апрель.doc» по сравнению с сохранившимся оригиналом. Администратор безопасности настроил аудит чтения на сетевой ресурс «C:\Ресурсы предприятия\Обмен» с применением наследования параметров аудита для создаваемых в нем файловых объектов. Проведите аудит файловых объектов этого ресурса на факт подбора пароля к ним.
Пользователь Людмила запускала несколько раз данный документ (рисунки 2.49 – 2.50). Так же она читала и изменяла его (рисунок 2.51). Подбор паролей с внешнего носителя – «WORDKEY» (рисунок 2.52).
Рисунок 2.49 – Аудит успеха о запуске WINWORD.EXE
Рисунок 2.50 – Аудит успеха о еще одном запуске
Рисунок 2.51 – Аудит о записи данных
Рисунок 2.52 – Аудит о запуске стороннего ПО